SECURITY WATCH - Um guia para a segurança das conexões sem fio
Por Kathryn Tewson e Steve Riley
Publicado em: 22 de agosto de 2006
Configurar uma rede sem fio é incrivelmente fácil. Não há cabos para puxar e não é necessário fazer buracos na parede; basta conectar o ponto de acesso (AP) sem fio, deixar que o gerenciador de conexão sem fio faça a auto-associação e pronto! Você está online. Mas, infelizmente, todas as outras pessoas que por acaso estão no intervalo de difusão do seu AP também estão online, e aí começa o problema.
Toda empresa tem informações que devem ser mantidas em sigilo. Segredos comerciais, código-fonte ou até mesmo os livros contábeis da empresa podem cair em mãos perversas muito facilmente. Se houver dados de cliente armazenados na sua rede, bloquear o acesso é algo ainda mais imperativo. Se alguns números de cartão de crédito forem divulgados, isso poderá destruir para sempre a confiança dos seus clientes; em alguns estados dos EUA, a simples possibilidade de roubo de números de cartão de crédito pode levar à instauração de processos por divulgação de dados sigilosos. E o acesso à rede sem fio não pára no recinto da sua empresa; se a sua rede for aberta, qualquer pessoa poderá se instalar em sua área de estacionamento e se conectar.
A ameaça
Saiba quem é o seu inimigo! Há três tipos básicos de pessoas mal-intencionadas contra as quais você precisa proteger a sua rede: "caçadores de emoções" (thrillseekers) e wardrivers, ladrões de largura de banda e invasores profissionais.
Os caçadores de emoções e wardrivers casuais são as pessoas que andam por aí com um laptop, procurando redes sem fio para se conectar. Geralmente eles não causam mal e são motivados pela aventura de fazer uma invasão eletrônica. As medidas de segurança mais simples normalmente são suficientes para detê-los, principalmente se houver outras redes abertas por perto.
Os ladrões de largura de banda sabem exatamente o que desejam. Eles podem enviar grandes quantidades de spams e baixar filmes pirateados ou pornográficos. Seja qual for a ação desses ladrões, há um motivo que justifica o fato de atuarem na rede da sua empresa e não em uma rede própria: eles não têm de se preocupar com o fato de serem rastreados, não precisam se responsabilizar por seus atos e não têm de pagar pela largura de banda que utilizam. Como se beneficiam da invasão, estão mais dispostos a entrar em sua rede, mas, assim como os caçadores de emoções, buscam a opção mais fácil disponível.
Os invasores profissionais são raros, mas assustadores. Ou eles querem os dados armazenados na sua rede ou querem prejudicá-lo. Não são intimidados por medidas de segurança casuais, uma vez que não procuram alvos fáceis. Esses invasores querem informações valiosas que só você possui, esperam que elas estejam minimamente protegidas e estão preparados para trabalhar duro a fim de obter acesso à sua rede ou até mesmo arruiná-la totalmente.
Não custa muito para que uma pessoa mal-intencionada se torne ainda mais perigosa quando tem pressa, e a segurança da sua rede pode ser comprometida por um único ponto com menos proteção. Em um acontecimento recente que ocupou bastante espaço na mídia, três wardrivers descobriram que uma cadeia nacional de lojas de varejo da região do meio-oeste dos EUA estava usando scanners de preços com tecnologia sem fio. Não havia acesso ao cliente por pessoas, apenas a transferência de dados automatizada a partir do sistema do ponto de venda. Todavia, as transações não eram criptografadas, e o AP usava a senha de administração padrão, por isso os invasores conseguiram acessar a rede geral da loja. Eles instalaram um pequeno programa em um dos servidores corporativos para capturar números de cartão de crédito em um arquivo de texto, que poderiam recuperar facilmente na área de estacionamento. Os três ladrões foram presos e condenados por fraude, mas você não quer que a sua empresa ganhe esse tipo de publicidade, não é mesmo?
Três cenários de exemplo
Café com ponto de acesso
Você está montando uma rede como um serviço para os seus clientes, para que eles venham ao seu estabelecimento mais vezes, fiquem por mais tempo e tomem mais café. Os usuários podem ser qualquer pessoa que entre no café com um laptop, por isso a facilidade de uso é o aspecto mais importante. Como você está operando uma rede pública à qual as pessoas irão se conectar, não há muito o que se pode ou deve fazer. Tentar configurar alguma forma de autenticação ou criptografia espantará os clientes. Certamente, você não quer ter o trabalho de manter um banco de dados de usuários e exigir que as pessoas façam logon. A solução recomendada: usar um AP que permita o isolamento de clientes para ajudar a protegê-los uns dos outros. Outra recomendação é manter essa rede completamente separada da rede interna da loja, caso você tenha uma.
Um pequeno escritório de contabilidade
Você está montando uma rede para que os seus três funcionários possam compartilhar facilmente o trabalho e arquivos. Os usuários são esses três funcionários e você, por isso uma pequena configuração de cliente não é algo complicado. Além dos wardrivers e ladrões de largura de banda, você precisa proteger os dados financeiros dos seus clientes. A solução recomendada: todo o equipamento sem fio deve ser novo e ter suporte aos recursos e protocolos mais modernos, e você deve configurar o tipo de segurança WPA-Personal. Como chave de autenticação pré-compartilhada, escolha uma palavra que não esteja dicionarizada.
A nossa regra é escolher uma senha, uma sentença complexa (com letras maiúsculas e minúsculas, números e caracteres especiais) fácil de lembrar, mas difícil para outras pessoas adivinharem. Por exemplo, "Ser ou não ser? Eis a questão". Certifique-se também de que o AP tem uma opção de desativar o isolamento de clientes, do contrário os recursos de colaboração da rede serão perdidos.
Escritório de advocacia com acesso de convidado
A sua estrutura de apoio tem conexão sem fio para que todos os advogados, paralegais e assistentes possam facilmente compartilhar arquivos e trabalhar juntos nos casos. Você também oferece acesso de convidado para que os clientes ou advogados que visitam o escritório possam acessar os respectivos arquivos. A segurança aqui é um aspecto incrivelmente vital; se os registros legais dos seus clientes vazarem, você não só perderá um negócio, mas poderá ter o registro de advogado cassado ou sofrer conseqüências criminais. A solução recomendada: monte duas infra-estruturas sem fio. Use APs de alta qualidade que dêem suporte ao tipo de segurança WPA2-Enterprise e a SSIDs duplos, um para a estrutura de apoio e outro para o acesso de convidado.
Configure o lado do funcionário para usar WPA2-Enterprise para autenticação e criptografia. Você precisará de um servidor RADIUS (execute os Serviços de Autenticação da Internet apenas nos controladores de domínio, para manter a simplicidade) e de software cliente atualizado (Windows XP SP2 pelo menos). Se você usar EAP-TLS para autenticação, precisará também de certificados digitais.
Configure o lado do convidado como uma rede pública aberta. Mais uma vez, os convidados não conseguirão se integrar facilmente a protocolos como WPA-Personal ou WPA-Enterprise, por isso você deve poupá-los (e a si mesmo) desse aborrecimento. Permita a funcionalidade de VPN (rede virtual privada) de saída no lado do convidado, de modo que os convidados possam se conectar às suas próprias redes corporativas a fim de recuperar dados.
Conceitos básicos
A segurança da rede sem fio não é uma proposta única para todas as necessidades. Antes mesmo de pensar em implementar um projeto de segurança, você deve considerar várias questões.
Quem são os usuários? São os seus funcionários ou clientes? Quanto da configuração os usuários poderão acessar? Serão sempre as mesmas pessoas que usarão a rede todos os dias ou pessoas diferentes?
Por que você está instalando uma rede sem fio? Deseja compartilhar arquivos entre funcionários? Deseja um gateway para a Internet? Você quer oferecer acesso sem fio aos seus clientes com a intenção de atraí-los ao seu estabelecimento? Pretende substituir um cabeamento Token Ring antigo nas suas instalações?
O que você está tentando proteger? Você não precisa ter uma infra-estrutura de segurança invejada pelo Pentágono. O que você precisa é de segurança suficiente para que o trabalho de invadir a sua rede não compense o valor dos dados contidos nela. Números de cartão de crédito, código-fonte, registros médicos ou legais, tudo isso tem muito valor. O manual do funcionário ou a programação de turnos? Talvez você considere esses recursos de pouco valor, mas, para alguém que está envolvido com engenharia social, eles contêm informações altamente úteis sobre as práticas da sua organização e os hábitos dos seus funcionários. Até mesmo a largura de banda é valiosa. No entanto, lembre-se de que invasores inteligentes conseguem entrar em lugares inesperados, por isso certifique-se de que você não está arriscando mais do que imagina.
Antes de analisarmos as vantagens e desvantagens dos servidores de autenticação e protocolos de criptografia, existem algumas etapas muito básicas e simples que você pode seguir para diminuir consideravelmente o risco de invasões.
Mude suas senhas Isto já foi dito antes, mas vale a pena repetir: mude a senha de administrador padrão do AP, principalmente se ela for "admin", "senha" ou nula. Faça isso periodicamente em cada AP. Essas senhas são muito conhecidas e, se você conceder acesso de administrador ao AP para alguém, será o mesmo que deixar material impresso com dados da sua empresa em uma caixa de papelão na rua.
Mude os endereços IP Diferentes marcas de APs usam diferentes IPs de WLAN e diferentes intervalos DHCP. Eles também podem ser configurados pelo usuário, e você pode mudar os valores padrão para algo menos comum. Novamente, com essa medida você disponibiliza menos informações sobre o AP para alguém que não está com boas intenções. Esse procedimento não lhe confere muita segurança, mas é fácil de executar e não causa um impacto negativo sobre os usuários, por isso vale a pena considerá-lo. No entanto, observe que a sua escolha de endereço deve funcionar com o esquema de endereçamento utilizado no restante da rede. Caso você não seja o responsável pela manutenção dos endereços IP, trabalhe junto com as pessoas da organização que estão encarregadas disso. Não se pode simplesmente escolher qualquer endereço IP aleatoriamente e esperar que ele funcione.
Use o recurso de isolamento de clientes Alguns APs vêm com um recurso que impede clientes sem fio de se comunicar uns com os outros. Normalmente, em um ambiente corporativo ou em um grupo de trabalho, já foram instituídos outros mecanismos para permitir ou impedir a comunicação de cliente para cliente, por isso esse recurso não seria importante para você. Mas se você estiver montando um ponto de acesso sem fio ou outra rede sem fio pública, procure APs que dêem suporte ao recurso de isolamento de clientes e não se esqueça de habilitá-lo. Isso ajuda a impedir que computadores malconfigurados ataquem outros computadores da rede.
Como não proteger uma rede sem fio
Há muitos conselhos falsos sobre segurança de conexões sem fio circulando na Internet. Eles se repetem com freqüência em artigos e seminários porque, bem, "parecem bons". Então vamos agora mesmo desfazer alguns mitos comuns sobre a segurança de conexões sem fio.
Oculte o SSID No AP, o SSID não é nada mais do que um nome. Ele nunca deve funcionar como senha, ainda que as pessoas o tenham transformado em uma desabilitando a sua difusão, pensando que isso tornaria suas redes mais seguras. Isso não é verdade. Sempre que um cliente se associa a um AP, ele inclui o SSID na mensagem de associação - em texto não criptografado, visível para qualquer pessoa que tenha um sniffer (farejador) sem fio. Por isso, vá em frente e habilite a difusão do SSID. A configuração zero do Windows® XP requer o SSID, ele é obrigatório segundo a especificação 802.11 e, para o tipo de segurança eficiente das conexões sem fio que recomendamos aqui, não tem problema se ele ficar visível.
Filtre endereços MAC A filtragem de endereços MAC (controle de acesso a mídia) parece ótima na teoria. Todos os dispositivos de rede do mundo têm um endereço MAC exclusivo; portanto, ao restringir quais endereços MAC podem ser associados à sua rede sem fio, você está descartando a possibilidade de invasões, certo? Errado. O problema é que o endereço MAC é enviado com o cabeçalho de cada pacote, ficando de fora de qualquer criptografia que esteja sendo usada, e os analisadores de pacotes são altamente disponíveis, assim como os aplicativos de falsificação do MAC. Também é um incômodo do ponto de vista administrativo, pois cada novo dispositivo que se conecta à rede deve ser inserido no AP pelo administrador de sistemas. Evite todo esse trabalho e não use o recurso.
Controle de acesso
Depois de atentar para esses pontos básicos, agora você pode começar a pensar em como controlar o acesso à sua rede. Comece pela camada física. Não torne o AP disponível fisicamente. É muito fácil restaurar as configurações padrão do AP. Se você sabe a marca e o modelo do AP, fica fácil descobrir quais são os padrões - geralmente eles estão impressos na parte inferior do próprio AP.
Alguns APs oferecem autenticação básica de nome de usuário/senha no próprio AP. Para configurá-lo, é simples; basta informar os seus pares de nome de usuário/senha no AP ou carregá-los de um arquivo de texto em outra máquina. O controle de acesso é feito por usuário e não por dispositivo. Esses APs são fáceis de usar, mas geralmente seu preço é mais alto que o do equipamento padrão, e eles podem não dar suporte a mais de 15 ou 20 usuários diferentes. Eles também não têm integração com nenhum sistema de diretórios (como o Active Directory). Por isso, exigir que os usuários se lembrem de mais uma identificação e senha também não é um boa idéia.
Para obter um controle de acesso por usuário mais eficiente do que aquele oferecido por um AP, busque uma solução de autenticação de servidor externo, como o RADIUS. Por si só o RADIUS não fará nada para ajudar você. Mas pelo fato de os protocolos avançados de segurança de conexões sem fio, como o WPA (consulte a seção a seguir, sobre criptografia), poderem utilizar o RADIUS para autenticação de usuário, você pode começar a criar um ambiente que tenha melhor integração com o restante da rede. A configuração de servidores RADIUS não precisa necessariamente ser cara. O IAS, incluído no Windows 2003, é ideal para empresas que usam o software da Microsoft Server.
Tão rápido quanto surgem soluções de controle de acesso, os vigaristas tentam encontrar maneiras de driblá-las. Uma das mais bem-sucedidas e assustadoras foi intitulada Evil Twin. Nesse cenário, alguém entra na sua área de estacionamento portando um laptop executando um servidor Web e um AP com uma antena de alta potência. O ladrão configura o AP com o seu SSID e configura o servidor Web para atuar como proxy e registrar em log as informações transmitidas. O Evil Twin provavelmente tem um sinal mais forte por causa da antena de alta capacidade, por isso os usuários se associarão ao SSID falso e não ao verdadeiro. E qualquer tráfego da Web não criptografado, como o logon em um lugar não protegido com SSL, será visto pelo invasor.
Agora, sinceramente, isso é mesmo um problema? Tudo depende das medidas de segurança que estão em vigor na sua rede. Se você usa o tradicional protocolo WEP, então isso é um problema. Mas se estiver usando protocolos mais sofisticados, como WPA ou WEP dinâmico, o problema deixa de existir. Esses protocolos incorporam um princípio chamado de autenticação mútua. Não só o cliente é autenticado na rede, mas também a rede é autenticada no cliente, seja por meio de um certificado digital do servidor RADIUS ou pelo conhecimento do AP de uma chave de autenticação. Como o invasor não consegue acessar o certificado ou a chave, os seus clientes se recusarão a estabelecer conexão com o Evil Twin. O invasor criou um problema de negação de serviço, mas não consegue interceptar o tráfego da sua rede.
Criptografia
Agora podemos tocar no âmago da questão da segurança: proteger a transmissão de dados com criptografia. Existem inúmeros algoritmos de criptografia diferentes e não intercambiáveis, sendo que cada um apresenta vantagens e desvantagens. Quanto mais você souber sobre eles, mais fácil será escolher a solução ideal para as suas necessidades.
O WEP estático é o primeiro que vem à mente quando pensamos em criptografia sem fio. Trata-se de um padrão antigo, suportado por praticamente todo dispositivo de rede sem fio; portanto, você não precisa se preocupar com a questão da compatibilidade. No entanto, esse algoritmo tem duas grandes desvantagens. A primeira é que ele requer que cada usuário e cada dispositivo informem uma cadeia de caracteres hexadecimais para estabelecer conexões. (Alguns dispositivos dão suporte a chaves de acesso ASCII, mas nem todos.) A segunda é que ele se tornou muito fácil de decifrar. Com as modernas ferramentas de invasão, são necessários apenas cerca de 500.000 quadros capturados para realizar a análise estatística dos dados e recuperar a chave. Considerando um AP em plena utilização que processe quadros de 1.500 bytes (o tamanho típico), é possível capturar 500.000 quadros de uma rede 802.11b em pouco mais de oito minutos, e de uma rede 802.11a ou 802.11g em menos de três minutos.
Apesar de sua penetração em praticamente todo equipamento de tecnologia sem fio, o algoritmo WEP estático chegou à fase final da vida útil. Não use esse algoritmo. Em vez dele, escolha uma opção entre as alternativas descritas aqui. Se o mais importante for a compatibilidade, use o WEP dinâmico. Se você não puder utilizar um servidor RADIUS, use o WPA-PSK (Wi-Fi Protected Access - Pre-Shared Key). Isso significa que talvez você tenha que atualizar o hardware e os sistemas operacionais cliente sem fio.
O WEP dinâmico com 802.1X+EAP é uma combinação de protocolos que resolve algumas das falhas do WEP estático. O WEP dinâmico usa uma combinação dos protocolos 802.1X e EAP (junto com um servidor RADIUS) para autenticar o usuário e, opcionalmente, o computador, criar uma chave de criptografia WEP exclusiva para cada computador associado e revezar todas as chaves em um intervalo de tempo especificado por você. Com que freqüência? Como o WEP ainda é a base da criptografia, você precisa considerar o problema dos 500.000 quadros descrito anteriormente. Por isso, o intervalo de tempo deve ser de oito ou dois minutos (ou menos), dependendo do hardware.
Um aspecto muito interessante em relação ao WEP dinâmico com 802.1X+EAP é que, no Windows XP SP1 e em versões posteriores, ele se integra ao processo de logon no domínio. Os computadores que ingressam em um domínio geralmente são configurados com diretivas de grupo do Active Directory aplicadas quando o computador faz logon, antes de o usuário fazer logon. É importante que a sua infra-estrutura sem fio permita o mesmo comportamento. No suplicante interno do Windows XP, o 802.1X+EAP gerencia o processo de logon no domínio e permite a aplicação da diretiva de grupo. Lembre-se disso ao avaliar alternativas para a segurança da conexão sem fio.
Há vários métodos de autenticação disponíveis com o 802.1X+EAP. O EAP-TLS e o PEAP (EAP protegido) são os mais conhecidos. O EAP-TLS requer certificados digitais em todos os clientes e em todos os servidores RADIUS. Esses certificados são utilizados para autenticação do computador e do usuário. O PEAP permite o uso de contas de domínio de usuário e de computador (identificações e senhas) para autenticação, embora nesse caso o servidor RADIUS ainda apresente um certificado digital ao cliente.
O WEP dinâmico é melhor que o WEP estático porque elimina a maioria das condições que tornam o WEP estático tão precário em termos de segurança. Embora o 802.1X+EAP possa fazer algumas coisas legais, o WEP dinâmico nunca se tornou um verdadeiro padrão e, se possível, deve ser evitado porque não elimina todas as falhas. O 802.1X+EAP combinado ao WPA (que veremos em seguida) sem dúvida deve ser o seu alvo.
O WPA é uma das tecnologias de criptografia sem fio de última geração. Ele é mais seguro e fácil de configurar do que o WEP, mas a maioria das placas de rede fabricadas antes de meados de 2003 não são compatíveis com esse algoritmo, a menos que o fabricante tenha produzido uma atualização do firmware. O WPA substitui o WEP por um algoritmo de criptografia aperfeiçoado de nome TKIP (Temporal Key Integrity Protocol). O TKIP fornece uma chave exclusiva para cada cliente e usa chaves bem maiores que são revezadas de acordo com um intervalo configurável. O WPA também inclui um campo de verificação de integridade de mensagens criptografadas, que impede ataques de falsificação e de negação de serviço, algo que o WEP dinâmico e o WEP estático não podem fazer. O WPA funciona com ou sem um servidor RADIUS.
O WPA-Personal usa uma chave de autenticação pré-compartilhada que é configurada em cada dispositivo. Ao contrário do WEP, esse algoritmo pode ser qualquer cadeia de caracteres alfanuméricos e é utilizado apenas para negociar a sessão inicial com o AP. Como tanto o cliente quanto o AP já possuem essa chave, o WPA fornece autenticação mútua, e a chave nunca é transmitida por antena.
O WPA-Enterprise usa 802.1X+EAP para autenticação, mas novamente substitui o WEP pela criptografia TKIP, que é mais avançada. Não é utilizada uma chave pré-compartilhada aqui, mas você precisará de um servidor RADIUS. Além disso, você terá todos os demais benefícios oferecidos pelo 802.1X+EAP, incluindo a integração com o processo de logon do Windows e o suporte para os métodos de autenticação EAP-TLS e PEAP.
O WPA2 é o último algoritmo sobre o qual falaremos aqui. Em vez do WEP, ele usa o AES (padrão avançado de criptografia), que é o padrão do governo americano para segurança. Se ele é bom o suficiente para o Pentágono, provavelmente o será para você! Assim como o WPA, o WPA2 mais recente pode ser usado nos modos Personal ou Enterprise e, até agora, tem se mostrado eficiente na proteção contra ataques.
A segurança da conexão sem fio é tão importante para a sua empresa quanto um cadeado na porta de entrada da sua casa, e encontrar o equilíbrio entre segurança, acessibilidade e custo de propriedade pode ser bastante trabalhoso. Avalie as suas necessidades com cautela e não adie essa decisão. Cada dia que você executa a sua rede aberta é mais um dia em que está correndo riscos. Uma estrutura de segurança bem planejada e implementada envolve o mínimo de trabalho e muita tranqüilidade, além de ser bom para você e os seus clientes.
Kathryn Tewson é engenheira especializada em tecnologia sem fio e trabalha na ACJ Technology Solutions em Bellevue, WA (www.acjts.com). Você pode contatá-la pelo email ktewson@acjts.com.
Steve Riley é gerente sênior do programa de segurança da unidade de tecnologia e negócios de segurança da Microsoft. Você pode contatá-lo pelo email steriley@microsoft.com.
Da edição de Novembro/Dezembro de 2005 da TechNet Magazine americana.