Vou tentar explicar da melhor maneira possível como podemos proteger uma rede wireless: existem muitas opções, umas boas e outras já ultrapassadas mas que mesmo assim ainda são utilizáveis. A área é muito vasta e por isso mesmo vou tentar explicar o melhor delas de modo a que se possa perceber o que cada uma é e o que faz. Relembro também que as coisas que aqui vou falar são de um âmbito geral, existem equipamentos que permitem fazer este tipo de configurações e outros não e, como não vou falar especificamente em equipamentos, falo de um modo geral nas opções que apresentam. Numa Rede Wireless existem basicamente 3 grandes áreas em que podemos intervir no âmbito da segurança: a propagação do nome da rede (SSID), a rede em si (DHCP) e outros critérios. Propagação do Nome da Rede -> SSIDSSID Service Set IDentifier: isto basicamente é o que identifica a nossa rede wireless, é isso que o router ou as placas em modo AD-HOC "espalham" de modo a poderem ser captadas. O primeiro passo é alterar o nome de fabrica que o nosso router tem a nível do seu SSID, coloquem algo que seja fácil de lembrar e, o mais importante, desactivem o Broadcast: desactivando isto, so as pessoas que saibam o nome da rede a podem identificar. Porque se deve desligar? Simples: geralmente o uso não autorizado das redes wireless é feito devido à rede estar a ser anunciada a todos, e se desligarem o Broadcast do SSID e alterarem o seu nome, torna-se bastante mais difícil a identificação e ligação à vossa rede. Encriptação: WEP e WPAWEP Wired Equivalent Privacy: basicamente é um protocolo de encriptação, isto devia de ser usado para encriptar a vossa ligação tornando-a mais segura pois, só seria possível ligar-se e receber informação da rede se tivessem o conhecimento da key de encriptação. Este método tornou-se obsoleto à ja algum tempo, qualquer computador hoje em dia consegue desencriptar uma key de 128bits muito rapidamente, no entanto usar uma rede com WEP activo serve geralmente para correr com aqueles nossos vizinhos abelhudos que gostam de andar a tentar ligar-se às redes alheias. No entanto, como se trata de protocolos de encriptação, para que a ligação funciona em óptimas condições é preciso que o router esteja em óptimo estado e que, acima de tudo, o Sistema Operativos das maquinas ligadas à rede estejam em perfeitas condições, isto porque, sempre que existe troca de informação entre router e pcs e vice versa, ambas as maquinas têm de encriptar e desencriptar toda a informação que passa, se alguma estiver com problemas toda a rede vai sofrer uma enorme quebra de performance, toda a situação agrava-se mais com o aumento do nível de encriptação. Eu não recomendo o uso de WEP pois já esta mais que ultrapassado. WPA Wi-Fi Protected Access: este método de encriptação é uma versão bastante melhorada do WEP pois ja tem autenticação. Existem 2 métodos de WAP, o Radius (que necessita de uma 3ª maquina a fazer de servidor de autenticação) e WPA-PSK que basicamente é criar uma Password encriptada de acesso à rede. Visto que ter uma terceira maquina para servidor e autenticação é algo que muitos ainda não podem ter, o ideal pode ser em activar unicamente a WPA-PSK e na sua configuração criar uma password alfa-numérica, não muito directa, de modo a que, só sabendo essa password é possível estabelecer uma ligação segura à rede. DHCP - Mudar, Limitar e DesactivarDHCP Dynamic Host Configuration Protocol: O servidor que fornece IP's às maquinas que se ligam à nossa Rede Wireless, uma das seguranças mais importantes da nossa rede é limitar o numero de ligações à mesma, como tal, um dos métodos que se deve de usar é, 1º Mudar a gama de IP's que o router ira usar, geralmente a gama de ips é 192.168.xxx.xxx, o ideal é mudar essa gama de IP's para algo fora desse Standard MAS mantendo a classe de IP's. Explicação -> Atribuição de IP'sPara quem não sabe, existem regras a nível da atribuição de IP's pois, caso não existisse a Internet e tudo o que mexe com IP's seria um perfeito CAOS, como tal, foram criadas regras: A IANA Internet Assigned Numbers Authority criou uma serie de Standards que se deve de guiar para nao criar confusao, como tal foi estabelecido que, para redes privadas, deveria de ser usado 3 gamas de ips: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 Ninguém nos obriga a usar exclusivamente estas gamas MAS usando estas não iremos ter problemas de acesso a paginas existentes na internet. Exemplo: estou a configurar a minha rede privada e escolho, em vez de ips destas 3 gamas, usar por exemplo ips da gama 213.22.xxx.xxx, ora se existirem paginas na internet que usem também estas gamas, sempre que um pc da minha rede privada quiser aceder a essas paginas ira pensar que as mesmas se encontram dentro da rede privada e, como tal, nunca as ira conseguir abrir. Foi para evitar estes problemas que foram criadas estas regras/standards. mais informações: http://www.iana.org/faqs/abuse-faq.htmhttp://www.isi.edu/in-notes/rfc1918.txthttp://www.rfc-editor.org/rfc/rfc3330.txt (IPV4 Geral) http://www.rfc-editor.org/rfc/rfc2373.txt (IPV6 Geral) Seguindo ainda dentro do DHCP, para alem de se mudar a gama, devemos de Limitar também quantos ips o servidor devera distribuir, como sabemos quantos? fazendo uma estimativa de quantos pcs se irão ligar à rede e depois acrescentar +1, por exemplo, a nossa rede vai ter 3 maquinas ligadas, devemos de limitar o DHCP a 4 IP's e nada mais, caso seja preciso depois no futuro podemos sempre acrescentar mais entradas. Por fim, devemos Desactivar o DHCP, sendo este um dos passos mais importantes pois, com a gama de ips mudada, com o DHCP limitado e desligado, so as pessoas com conhecimento das condições de como a rede esta montada se poderá ligar à mesma.
MAC Address FILTERMAC Address FILTER Media Access Control Address Filter: Filtrar as placas que têm autorização para se ligar à nossa rede, hoje em dia ja todos ou quase todos os routers wireless têm esta opção, a ideia é Só permitir a entrada na nossa rede, aquelas placas que têm Autorização explicita para se ligar nela, existem sempre algures nos routers ou AP's uma listagem chamada de MAC FILTER que permite colocar-se os MACs das placas que queremos. Como descobrir o MAC Adress das vossas placas? vejam esta pagina que explica bastante bem, em vários sistemas, como o fazer. Por Ultimo: Dados de Autenticação no Router este é dos pontos mais importantes, alias, deve de ser o primeiro e nao o ultimo ponto a ser feito, deve-se de imediatamente alterar os dados de login que o router trás de fabrica pois assim, so nos, sabendo os novos dados, podemos mexer no router. Outros Metodos: existem mais métodos de protecção, mas todos eles implicam a existência de terceiras maquinas a fazer de servidor de autenticação, podemos montar Servidores em Active Directory fazendo autenticação por Certificado Digital, por autenticação de maquina, por Radius server (que já mencionei), por n maneiras diferentes aos quais não irei falar pois, para um user comum não são opções válidas.
Generalizando e Concluindo
Para protegerem a vossa rede, na minha humilde opinião, deverão fazer as seguintes Opções:
*Mudar os dados de Autenticação no router, isto é, Alterar Username e Password
*Mudar e Desactivar o SSID
*Mudar, Limitar e Desactivar o DHCP
*Não usar WEP, mas sim activar com password alfa-numérica WPA-PSK
*Activar MAC FILTER
