Kioskea
Pesquisar

A segurança das redes sem fios Wi-Fi (802.11 ou WiFi)

Março 2015


Uma infra-estrutura adaptada

A primeira coisa a fazer aquando da instalação de uma rede sem fios consiste em posicionar inteligentemente os pontos de acesso de acordo com a zona que se deseja cobrir. Não é contudo raro que a zona coberta seja muito maior que o desejado, neste caso é possível reduzir a potência do limite de acesso a fim de adaptar o seu alcance à zona a cobrir.

Evitar os valores por defeito

Aquando da primeira instalação de um ponto de acesso, este é configurado com valores por defeito, incluindo no que diz respeito à senha do administrador. Um grande número de administradores principiantes considera que a partir do momento em que a rede funciona, é inútil alterar a configuração do ponto de acesso. Contudo, os parâmetros por defeito são tais que a segurança é mínima. É por conseguinte imperativo ligar-se ao interface de administração (geralmente através de um interface web numa porta específica do limite de acesso) para definir uma senha de administração.

Por outro lado, para se ligar um ponto de acesso é indispensável conhecer o identificador da rede (SSID). Assim, é aconselhável alterar o nome da rede por defeito e desactivar a divulgação (broadcast) deste último na rede. A mudança do identificador rede por defeito é ainda mais importante pois pode dar aos piratas elementos de informação sobre a marca ou o modelo do ponto de acesso utilizado.

A filtragem dos endereços MAC

Cada adaptador rede (nome genérico para a placa de rede) possui um endereço físico que lhe é próprio (chamado endereço MAC). Este endereço é representado por 12 números hexadecimais agrupados por pares e separados por travessões.

Os pontos de acesso permitem geralmente, no seu interface de configuração, gerir uma lista de direitos de acesso (chamada ACL) baseada nos endereços MAC dos equipamentos autorizados a ligar-se à rede sem fios.

Esta precaução ligeiramente vinculativa permite limitar o acesso à rede de diversas máquinas. Por outro lado, isto não resolve o problema da confidencialidade das trocas.

WEP - Wired Equivalent Privacy

Para remediar os problemas de confidencialidade das trocas nas redes sem fios, o padrão 802.11 inclui um mecanismo simples de codificação dos dados, trata-se do WEP, Wired equivalent privacy.


O WEP é um protocolo encarregado da codificação das tramas 802.11 que utilizam o algoritmo simétrico RC4 com chaves de um comprimento de 64 bits ou 128 bits. O princípio do WEP consiste em definir inicialmente uma chave secreta de 40 ou 128 bits. Esta chave secreta deve ser declarada a nível do ponto de acesso e dos clientes. A chave serve para criar um número pseudo-aleatório de um comprimento igual ao comprimento da trama. Cada transmissão de dado é assim codificada utilizando o número pseudo-aleatório como máscara, graças a um O Exclusivo entre o número pseudo-aleatório e a trama.

A chave de sessão partilhada por todas as estações é estática, ou seja, para estender um grande número de estações WiFi é necessário configurá-las utilizando a mesma chave de sessão. Assim, o conhecimento da chave é suficiente para decifrar as comunicações.

De mais, de 24 bits da chave servem unicamente para a iniciação, que significa que únicas 40 bits da chave de 64 bits servem realmente a calcular e 104 bits para a chave de 128 bits.

No caso da chave de 40 bits, um ataque por força bruta (ou seja tentando todas as possibilidades de chaves) pode conduzir muito rapidamente o pirata a encontrar a chave de sessão. Mais de uma falha detetada Fluhrer, por Mantin e Shamir relativos à geração da cadeia pseudo-aléatoire tornam possível a descoberta da chave de sessão armazenando 100 Mo à 1 Go de tráfego criados intencionalmente.

O WEP não é por conseguinte suficiente para garantir uma real confidencialidade dos dados. Para tanto, é aconselhado com vivacidade pôr pelo menos em obra uma proteção WEP 128 bits a fim de assegurar um nível de confidencialidade mínimo e evitar desta maneira 90% dos riscos deintrusão.

Melhorar a autenticação

A fim de gerir mais eficazmente as autenticações, as autorizações e a gestão das contas utilizadoras (en anglais AAA pour Authentication, Authorization, and Accounting) é possível recorrer um servidor RADIUS (Remote Authentication Dial-In User Service). O protocolo RADIUS(definido pelos RFC 2865 e 2866), é um sistema cliente/servidor que permite gerir de maneira centralizada as contas dos utilizadores e os direitos de acesso associados.

Posto em lugar de um VPN

Para todas as comunicações que necessitam um elevado nível de segurança, é preferível recorrer à uma codificação extremamente dos dados pondo em lugar uma rede privada virtual (VPN).

Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
A-seguranca-das-redes-sem-fios-wi-fi-802-11-ou-wifi.pdf

A ver igualmente


Wi-Fi wireless network security (802.11 or WiFi)
Wi-Fi wireless network security (802.11 or WiFi)
Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)
Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)
Die Sicherheit der drahtlosen Wifi-Netzwerke (802.11 oder Wifi)
Die Sicherheit der drahtlosen Wifi-Netzwerke (802.11 oder Wifi)
Sécuriser un réseau WiFi
Sécuriser un réseau WiFi
La sicurezza delle reti senza fili Wi-Fi (802.11 o WiFi)
La sicurezza delle reti senza fili Wi-Fi (802.11 o WiFi)
Este documento, intitulado « A segurança das redes sem fios Wi-Fi (802.11 ou WiFi) »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.