Protegendo Redes sem Fio 802.11
Por Allen Jones
Usando o Roteamento e Acesso Remoto do Windows 2000 e PPTP e IPSec para fortalecer a segurança
Este artigo é de Junho de 2003, da revista Windows & .NET Magazine.
Redes sem fio têm se tornado a mais excitante tecnologia da década. Não mais limitada aos profissionais do ramo de TI, as redes atingiram o público em geral. Mas qualquer um que explore os recursos de segurança de redes sem fio sabe quão fraca é a segurança que estas redes provêm. Frequentes alertas e documentos técnicos demonstram as fraquezas de segurança do padrão Wired Equivalent Privacy (WEP), que é parte dos protocolos de redes sem fio 802.11b e 802.1x. Ainda assim administradores acreditam que os seus sinais de rede sem fio são muito remotos ou contidos (por exemplo, dentro de um prédio) para serem atacados. Entrentanto, recursos como NetStumbler.com (http://www.netstumbler.com) e a apresentação de Peter Shipley's chamada "Open WLANS" (http://www.dis.org/filez/openlans.pdf) fornece contas para o acesso de milhares de pontos de acessos de redes sem fios (APs) a partir da técnica war driving (isto é, varrendo automaticamente redes sem fio enquanto dirige - driving - na área).
O padrão de redes sem fio 802.11b (o mais popular e mais disponível) possui duas configurações gerais que não fornecem a proteção que os administradores pensam que tem. Primeiro, os administradores de sistemas cometem o impressionante erro de achar que os Service Set Identifiers (SSIDs) estão relacionados com segurança. Os SSIDs não estão relacionados com segurança, apesar de você poder usá-los para segmentar usuários sem fio em mais redes menores. Os SSIDs não são criados para serem mantidos em segredo, portanto seu uso não irá contribuir para a segurança da rede sem fio. Para facilitar a conexão por usuários, os sistemas operacionais como o Windows XP relatam todos os SSIDs que eles encontram. Segundo, muitos administradores utilizam chaves WEP para conifigurar a encriptação rudimentar da rede sem fio. Estas chaves são de 2 tamanhos: 40-bits e 128-bits. (Para informações sobre a criptografia WEP, leia o artigo de Eric Janszen "Understanding Basic WLAN Security Issues" em http://www.80211planet.com/columns/article/0,,1781_937241,00.html.) Obviamente, a chave de 128-bits é a escolha mais forte, mas o WEP é substancialmente fraco, então sugiro que você confie em um túnel VPN ao fornecer a criptografia necessária. Esta solução funciona bem em uma rede Windows 2000.
.gif)
Nesta Página
.gif){kind=icon}
Três Modelos de Conectividade
Configurando o servidor DHCP
Configurando o servidor de Roteamento e Acesso Remoto (VPN)
Configurando o IPSec sobre L2TP
Configurando o cliente de VPN
Sinta-se seguro
Três modelos de conectividade
Você tem 3 modelos para criar uma conectividade sem fio em uma rede Windows 2000. Primeiro, você pode utilizar o serviço Compartilhamento de Conexão com a Internet (Internet Connection Sharing) e criar um escopo DHCP em um servidor Windows 2000 para configurar um gateway sem fio básico. Para tornar seguro o tráfego e fornecer uma proteção criptográfica mínima, o segundo modelo adiciona o serviço de Roteamento e Acesso Remoto do Windows 2000 e PPTP ao primeiro modelo. Para tirar vantagem da segurança mais forte disponível comercialmente, o terceiro modelo substitui o PPTP pelo IP Security (IPSec) como a opção de criptografia.
No primeiro e mais simples modelo, você conecta o seu Ponto de Acesso a um computador executando o Compartilhamento de Conexão a Internet. (Para mais informações sobre o Compartilhamento de Conexão a Internet, leia "Related Articles in Previous Issues" em http://www.winnetmag.com, InstantDoc ID 24873.) Você instala o serviço DHCP e cria um escopo DHCP para seus clientes sem fio, então executa o Assistente do Compartilhamento de Conexão com a Internet no computador conectado a Web. O resultado é um gateway de Internet para a rede sem fio para seus usuários (e qualquer um em uma curta distância de seu Ponto de Acesso).
Entretanto, este modelo não fornece segurança para sua rede física ou os clientes sem fio. Para proteger sua nova conexão sem fio, você precisa fazer algumas alterações em seu ambiente, como instalar um servidor VPN e adicionar criptografia. Você precisa ter certeza que qualquer dado transmitido por sua rede sem fio se mantenha confidencial e que invasores não podem arbitrariamente se conectarem a sua rede para observar os dados que estão passando.
O segundo modelo utiliza PPTP para criptografar o dado. Utilizando o Microsoft Point-to-Point Encryption (MPPE) com 128 bits, disponível na implantação do Roteamento e Acesso Remoto do Windows 2000, você terá ampla proteção para sua rede. Criptografar dados com MPPE de 128 bits dentro de um túnel GRE (Generic Routing Encapsulation) fornece proteção suficiente para parar o "war driver" casual ou proposital. Entretanto, o MPPE não fornece autenticação mútua do cliente e servidor ou a criptografia de 168 bits Triple DES (3DES) que você implanta através do IPSec sobre L2TP (Layer Two Tunneling Protocol).
A maioria dos pesquisadores de segurança concordam que o IPSec oferece atualmente a melhor proteção para redes sem fio. Portanto, o terceiro (e mais seguro) modelo usa IPSec ao invés de PPTP.
Para configurar uma rede sem fio que usa IPSec, você precisa primeiro planejar uma rede stub (isto é, uma rede filho que usa um conjunto de endereços IPs da rede pai mas é segmentada a partir da rede pai por um roteador ou um dispositivo de gateway) e configurar o DHCP e o Roteamento e Acesso Remoto. Você precisa da rede stub para fornecer aos clientes uma forma de se conectar a rede sem fio. Os clientes sem fio podem utilizar um endereço IP atribuído manualmente para se conectar a um dos pontos de acesso sem fio; para atribuir endereços dinamicamente, você pode oferecer um serviço DHCP na rede stub. O único recurso disponível aos clientes na rede sem fio é o servidor RRAS. Qualquer cliente sem fio que desejar acesso a sua rede interna deve primeiro se conectar, criptografar e se autenticar no servidor RRAS, de forma similtar aos clientes que se conectam a partir da Internet.
Para fornecer um exemplo deste tipo de implantação, eu configurei um Ponto de Acesso simples (Cisco Systems' Cisco Aironet AP4800) em sua configuração padrão, então configurei um SSID para fins de segmentação sem fio. O SSID padrão do dispositivos era TSUNAMI; eu configurei meu SSID como JONES. Eu conectei o Ponto de Acesso através de um cabo cruzado Ethernet em um servidor RRAS, que é utilizado como servidor VPN. O sistema é um Compaq Pentium III 650MHz executando o Win2K com Service Pack 2 (SP2) com o serviço DHCP e todos as atualizações de segurança disponibilizados até este momento. O servidor possui uma segunda conexão Ethernet para a Intranet, que também fornece conectividade a Internet através do gateway padrão. Meus clientes sem fio executam XP, build 2600 com todas as atualizações de segurança. Estes clientes utilizam vários adaptadores de rede sem fio, incluindo Cisco Systems Aironet 350 e Aironet 340, Compaq WL100 e Dell PC Card TrueMobile 1100 series. Eu atribui a cada um dos clientes um endereço IP estático na rede stub 10.1.1.X, mas eu poderia deixar que cada cliente recebesse um IP automaticamente na rede 169.254.x.x. (Se você preferir, substitua o endereço 10.1.1.x neste artigo pelo endereço 169.254.x.x.) A figura 1 mostra o servidor, o ponto de acesso sem fio e a rede stub (10.1.1.x). O servidor RRAS prevê qualquer entrada de autenticação na sua rede.
.gif)
Figura 1: Um exemplo de rede sem fio
Para simplificar a demonstração, eu não instalei o Active Directory. Se sua rede possui o AD, você pode usar Diretivas de Grupos e os Serviços de Certificados do Windows 2000 para fornecer ainda mais proteção. (Os usuários devem possuir um certificado válido, além de um usuário e senha, antes de se conectarem a rede). Usar o DHCP gera implicações significantes e cria complicações adicionais em um ambiente com o AD. Para mais informações sobre DHCP e ADP, leia "Related Articles in Previous Issues".
Um aviso: Configure uma rede sem fio de teste para trabalhar em riscos potenciais e certifique-se que a criptografia funciona corretamente antes de colocar este plano em ação em seu ambiente de produção. Antes de iniciar, tenha a certeza de verificar por qualquer infra-estrutura sem fio que esteja sendo usada em seu local. Muitos fabricantes de infra-estruturas de redes sem fio incluem ferramentas de descobertas de sites com seus cartões de rede e discos de instalação do Ponto de Acesso. Você pode utilizar estes utilitários para determinar se existe qualquer infra-estrutura sem fio na área.
.gif){kind=icon}
Configurando um servidor DHCP
Para criar uma rede sem fio, você precisa primeiro configurar o serviço DHCP no servidor de Roteamento e Acesso Remoto. Selecione o DHCP nas Ferramentas Administrativas para abrir o snap-in do DHCP. Para configurar um escopo para seus clientes sem fio, clique com o botão direito do mouse no painel do lado esquerdo do console e selecione Novo Escopo a partir do menu de contexto para iniciar o Assistente para Novo Escopo. Clique em Avançar. Forneça um nome para o seu escopo; sugiro algo descritivo como Clientes Confiáveis sem Fio. Clique em Avançar.
O assistente solicita que você defina uma faixa de endereços IP. A maioria dos pontos de acesso não conseguem tratar mais do que alguma dezenas de clientes simultâneos, então atribuir uma classe C completa a um ponto de acesso é um pouco exagerado. Eu usei 192.168.0.33 até 192.168.0.46 e uma máscara de sub-rede igual a 255.255.255.0. Entre os IPs iniciais e finais apropriados para sua rede, assim como a máscara de sub-rede e clique em Avançar.
Na tela de Exclusões do Assistente, adicione qualquer endereço IP que você deseje excluir. Clique Avançar. A tela de duração do aluguel oferece um tempo padrão de 8 dias para o aluguel. Entretanto, usuários sem fio - que são frequentemente móveis - raramente precisam alugar um endereço por todo este tempo. Eu sugiro um tempo de aluguel inicial de 30 minutos. Se você perceber que está terminando os endereços, você pode mudar o tempo de aluguel. Faça a seleção apropriada e clique em Avançar.
Na tela de Configuração das Opções do Escopo, aceite a resposta padrão Sim, eu desejo configurar estas opções agora e clique Avançar. Na tela do roteador (gateway padrão), o assistente solicita a você que forneça um gateway padrão para seus clientes sem fio. Em minha rede de exemplo, 192.168.0.1 é o gateway padrão. Entre o endereço do gateway padrão para sua rede e clique Avançar.
Na tela de configuração do domínio DNS e do servidor DNS, entre os endereços apropriados dos endereços IP dos servidores DNS (eu apontei meus clientes sem fio para o gateway padrão, para resolver nomes DNS, portanto especifiquei 192.168.0.1). Clique Adicionar depois de entrar com cada endereço. Você pode usar os botões Para Cima e Para baixo para ajustar a ordem de preferência. Clique Avançar depois de adicionar e priorizar os endereços.
Você não precisa do WINS em sua rede de testes sem fio, mas alguns dos clientes podem executar aplicações que precisem. Se for o caso, entre com os endereços IP dos servidores WINS na tela do WINS, usando o mesmo método usado para entrar com os endereços dos servidores DNS. Clique Avançar quando finalizar a configuração.
O Assistente solicita então quando você deseja ativar o escopo. Você deve ativar o escopo para servir os clientes com os endereços IP do escopo. Aceite a opção padrão Sim, desejo ativar o escopo agora e clique Avançar. Clique em Concluir para fechar o Assistente. Você pode atribuir endereços IP a seus clientes sem fio imediatamente, mas você ainda precisará configurar o serviço Roteamento e Acesso Remoto para encriptar, autenticar e rotear o tráfego Internet.
Configurando o servidor de Roteamento e Acesso Remoto (VPN)
Depois de utilizar o próximo assistente, você não conseguirá mais "pingar" a interface externa do servidor VPN. Portanto, se você precisa executar testes de conectividade em sua infra-estrutura de rede sem fio, faça-a antes de completar esta etapa.
Selecione Roteamento e Acesso Remoto nas Ferramentas Administrativas para abrir o snap-in do Roteamento e Acesso Remoto. Clique com o botão direito do mouse no servidor e selecione Configurar e ativar o Roteamento e Acesso Remoto a partir do menu de contexto, iniciando o Assistente do Servidor de Roteamento e Acesso Remoto. Clique em Avançar para ir para a tela de configurações comuns, selecione Rede Privada Virtual (VPN) e clique Avançar. Clique Avançar para aceitar o protocolo padrão TCP/IP.
Na tela de Conexão a Internet, você deve fazer uma importante distinção. Quando você adicionar capacidades sem fio em sua rede, você irá mudar drasticamente o perímetro. Portanto, você precisa tomar algumas precauções nos usuários sem fio assim como você toma em relação aos usuários na Internet. Como mostra a figura 1, qualquer cliente sem fio (incluindo não confiáveis) podem se conectar a rede 10.1.1.x. Portanto, sua interface externa do servidor VPN deve ser conectada a rede 10.1.1.x. Sua conexão Internet (clientes não confiáveis) será então a da rede 10.1.1.x. Selecione o adaptador que se conecta a esta rede e clique Avançar. Note que os clientes sem fio em meu exemplo possuem IPs atribuídos estaticamente. Se você precisa de suporte ao DHCP para os clientes externos, você precisa adicionar escopos DHCP ou um segundo servidor DHCP na rede.
Na tela de atribuição do endereço IP, aceite o padrão que atribui automaticamente endereços IP aos clientes e clique Avançar. Na tela Gerenciando Múltiplos Servidores de Acesso Remoto, aceite a opção padrão Não, eu não desejo configurar este servidor para usar RADIUS agora e clique Avançar. Clique em Concluir para completar a configuração do servidor VPN. Clique em OK no aviso sobre retransmissão DHCP. O novo servidor RRAS é iniciado e o ícone do servidor agora torna-se verde.
Você agora possui um servidor RRAS funcional que usa PPTP em sua rede sem fio. Este servidor fornece a seus clientes sem fio um nível mímino de criptografia e uma segurança razoável em relação ao dado. Se a criptografia de 128-bits do MPPE for satisfatória em seu ambiente, você pode parar por aqui: sua rede já está mais segura do que redes sem fio que dependem apenas da criptografia baseada em WEP. (E se sua rede inclui Pocket PCs e dispositivos baseados em Windows CE, o PPTP é atualmente o único protocolo suportado nestes clientes). Para verificar se o seu tráfego está de fato criptografado com MPPE, instale a ferramenta Network Monitor conforme a página 28 do artigo "Monitoring Encrypted Traffic," descreve.
O objetivo final, entretanto, é ir do MPPE rodando sobre PPTP para o IPSec sobre L2TP que usa 3DES. Para isso, você precisará configurar mais algumas coisinhas.
Configurando o IPSec sobre L2TP
Para se comunicar de forma segura com o IPSec, você precisa criar um conjunto de diretivas (isto é, um conjunto predeterminado de acordos) para permitir que você crie um canal de comunicação (também conhecido como associação de segurança). Como este artigos discute uma configuração que não envolve um controlador de domínio ou o Active Directory, você pode configurar suas diretivas IPSec através do snap-in Diretivas de Grupo Local. Antes de começar esta parte da configuração, esteja consciente que como eu assumo que você está trabalhando em um ambiente sem AD e seus clientes podem ser membros de qualquer domínio, suas opções de autenticação são limitadas aos certificados emitidos pelos Serviços de Certificado do Windows 2000 ou uma chave pré-compartilhada (isto é, uma chave secreta compartilhada conhecida apenas pelo servidor VPN e pelo cliente sem fio). Entretanto, como as chaves pré-compartilhadas são as menos atrativas (e as menos seguras) das opções de estabelecer comunicação IPSec, eu descrevo o uso de certificados. (Para maiores informações, leia "Related Articles in Previous Issues".)
Selecione Diretiva de Segurança Local em Ferramentas Administrativas para abrir o console local. No painel do lado esquerdo do painel, clique com o botão direito do mouse em Diretivas de Segurança IP em Computador Local. Selecione Criar Diretiva de Segurança IP a partir do menu de contexto para iniciar o Assistente de Diretiva de Segurança IP. Clique Avançar, e dê um nome descritivo como Diretiva de Segurança WLAN. Clique em Avançar, e desmarque a opção Ativar a regra de resposta padrão. (Você está criando uma regra específica para clientes sem fio, então esta regra não será satisfatória como a regra padrão para todos os clientes). Clique Avançar e em Concluir para abrir as propriedades para sua regra. Confirme que Usar o 'Assistente para Adicionar' está selecionado (no canto inferior direito). Clique Adicionar para iniciar o Assistente de regra de segurança.
O Assistente de regra de segurança ajuda você a configurar os filtros IPSec que o tráfego VPN precisa. Clique Avançar três vezes para chegar a tela de Método de Autenticação, que oferece a você três opções: Kerberos, certificados e chave pré-compartilhada.
O método mais seguro de proteger o IPSec (o que descrevo) é usar certificados emitidos pelos Serviços de Certificados do Windows 2000, executado em uma diretiva de autoridade de certificação (CA) corporativa ou autônoma. A menos que você já execute uma infra-estrutura de certificados interna, este método adiciona um novo elemento de gerenciamento em seus clientes sem fio. Para mais informações sobre como configurar sua própria autoridade de certificação e usar certificados, leia os artigos de Ken Spencer, "Using Win2K Certificate Services to Configure a Standalone CA, Part 1" (http://www.secadministrator.com, InstantDoc ID 23373) e "Using Win2K Certificate Services to Configure a Standalone CA, Part 2" (http://www.secadministrator.com, InstantDoc ID 23654). Você precisará emitir certificados de computador (em vez de certificados de usuários) para seus clientes e seu servidor VPN - uma tarefa que assumo já estar realizada. A partir deste ponto, novos clientes sem fio precisarão adquirir um certificado de computador através da interface Web dos Serviços de Certificados antes de fazerem parte de sua rede sem fio. Para uma máxima segurança, mantenha o servidor Web que hospeda este serviço em sua Intranet.
Na tela de Método de Autenticação do Assistente de regras de segurança, selecione a opção Usar um certificado desta autoridade de certificação. Clique em Procurar... para ver uma lista das autoridades de certificação confiáveis, selecione a apropriada e clique em OK.
Na tela de filtro IP, especifique os endereços IP, portas e protocolos que podem ser usadas em sua diretiva IPSec. Clique Adicionar para abrir a caixa de diálogo de Filtro IP. Dê ao filtro um nome descritivo, como Filtro WLAN. Certifique-se que a opção Use 'Assistente para Adicionar' está selecionada. Clique Adicionar para iniciar o Assistente de Filtro IP.
Clique em Avançar duas vezes. Na tela de Destino do tráfego IP, selecione Uma sub-rede IP específica. Entre o endereço IP e a máscara de sub-rede que melhor representa sua rede sem fio. Esta faixa deve incluir os endereços IPs atribuídos aos clientes sem fio e todos os endereços fornecidos no escopo do servidor DHCP. (Eu usei um endereço IP 10.1.1.32 e uma máscara de sub-rede de 255.255.255.224 para permitir que clientes a partir de 10.1.1.33 até 10.1.1.62 utilizem esta regra). Clique duas vezes em Avançar e clique Concluir, clicando então em OK. A tela de Filtro IP agora mostra o novo filtro IP (Filtro WLAN). Selecione o filtro, e clique Avançar. Na tela de Ação de Filtro, clique Adicionar para iniciar o Assistente de Ação de Filtro.
Clique Avançar na tela introdutória. Forneça um nome descritivo, como Ação do Filtro WLAN. Clique Avançar. Na tela de Opções Gerais da Ações de Filtro, certifique-se que a opção Negociar Segurança esteja selecionada e clique em Avançar duas vezes. Na tela de Segurança do Tráfego IP, clique Personalizada e clique em Configurações... para abrir a caixa de diálogo Configurações personalizadas do método de segurança. Note que o algoritmo de criptografia está definido para 3DES. Se você estiver licenciado para usar 3DES e deseja o mais alto nível de criptografia, selecione 3DES para o Algoritmo de criptografia. (Data Encryption Standard—DES—é um algoritmo de 56-bits, enquanto o 3DES oferece 168-bits.) Depois de selecionar seu algoritmo de criptografia, selecione as duas caixas de seleção na seção Configurações de chave de Sessão e clique em OK na caixa de diálogo. Clique em Avançar e clique em Concluir para fechar o Assistente de Ação de Filtro.
Selecione a nova ação de filtro (isto é, Ação do Filtro WLAN) e clique Avançar. Certifique-se de que a opção Editar propriedades está desmarcada e clique em Concluir. Clique em Fechar para encerrar o Assistente de Diretiva de Segurança. Parabéns, você configurou sua primeira diretiva IPSec.
A etapa final é atribuir a nova diretiva a seus clientes sem fio. Clique com o botão direito do mouse na diretiva (Diretiva WLAN) no console de Diretiva de Segurança Local e selecione Atribuir. Note que após você atribuir a diretiva, a coluna Diretiva Atribuída mostra SIM e o ícone da diretiva mostra uma marca verde.
Configurando o cliente de VPN
Você pode agora configurar seus clientes de VPN para apontar para seu servidor RRAS e usar criptografia IPSec. Em um cliente XP, como o que eu uso, selecione Iniciar, Conectar-se, Mostrar todas as Conexões. Clique em Criar uma nova conexão para abrir o Assistente para novas conexões. Clique em Avançar. Selecione Conectar-me a uma rede em meu local de trabalho e clique em Avançar. Selecione a opção Conexão VPN (rede privada virtual) e clique Avançar. Forneça uma descrição do nome da empresa, como Rede Sem Fio. Clique Avançar. Selecione Não discar a conexão inicial. Na tela de seleção do servidor VPN, entre com o IP externo do servidor VPN (em meu caso, 10.1.1.1). Clique Avançar. Se você não deseja compartilhar esta conexão com outros usuários, aceite a opção padrão Somente eu. Clique Avançar e então em Concluir para completar a criação da conexão e para abrir automaticamente a caixa de diálogo de conexão.
Nesta caixa de diálogo, entre com as credenciais apropriadas e clique em Propriedades e vá para a guia Segurança. Selecione Avançada (configurações personalizadas) e clique em Configurações.... Em Segurança de Logon, selecione Usar protocolo EAP (Extensible Authentication Protocol). Certifique-se que a opção Smart Card ou outro certificado (TLS) esteja selecionada na lista e clique em Propriedades. Na caixa de diálogo aberta, navegue na lista de seleção das autoridades de certificação raiz confiáveis. Selecione a autoridade de certificação raiz da infra-estrutura de certificados que você usará em seus clientes sem fio. Selecione também a opção Usar certificado neste computador. Clique OK duas vezes para fechar as caixas de diálogos.
Vá agora para a guia Rede. Na lista de seleção Tipo de VPN, selecione o protocolo apropriado (PPTP ou L2TP IPSec). Clique em OK para retornar a caixa de diálogo da conexão e clique em Conectar para fazer a conexão de VPN. Depois de conectado, use o Network Monitor novamente (veja "Monitoring Encrypted Traffic") para garantir que o tráfego está de fato criptografado.
Sinta-se Seguro
Eu mostrei a você como usar as tecnologias disponíveis atualmente para criar um ambiente seguro para seus clientes sem fio. A experiência de seus usuários finais irá variar dependendo da geografia, arquitetura, distância dos pontos de acesso, número de usuários e outras instalações sem fio presentes. Mas usando esta arquitetura, você se sentirá seguro quanto a implantação de redes sem fio em seu ambiente.
© 2002 Windows & .NET Magazine. Direitos reservados.
Windows & .NET Magazine UPDATE é um informativo gratuito por email contendo notícias, dicas e outros recursos para profissionais de TI. Assine agora em http://email.winnetmag.com/winnetmag/winnetmag\_prefctr.asp (em inglês).
Nós, da Microsoft Corporation, esperamos que essas informações sejam valiosas. No entanto, você assume inteiro risco quanto ao uso das informações contidas neste documento. Todas as informações contidas neste trabalho são fornecidas "como estão", sem quaisquer garantias, quer explícitas ou implícitas, de sua precisão, abrangência, adequação a uma finalidade específica, titularidade ou não-violação. A Microsoft Corporation não cria, recomenda, dá suporte ou garante nenhum dos produtos ou das informações de terceiros mencionados neste trabalho. A Microsoft Corporation não se responsabilizará por quaisquer danos ocorridos em decorrência do uso dessas informações, quer sejam diretos, indiretos, especiais, incidentais ou conseqüenciais, mesmo que tenha sido informada da possibilidade de tais danos. Todos os preços dos produtos mencionados neste documento estão sujeitos a alterações sem aviso prévio.