brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Reforçando a Segurança da LAN Sem Fio

Por Thomas Schmidt
ID do Artigo: 3245

20 de janeiro de 2004
Introdução
Esteja atento para a porta dos fundos
Siga as melhores práticas para o uso de WLAN
Conclusão
Links Relacionados


Este artigo analisa as principais vulnerabilidades para dispositivos sem fio encontradas atualmente, algumas descobertas endereçadas a elas e as melhores práticas de segurança que você deve considerar implementar.

Aqui estão algumas notícias que chamarão a atenção de qualquer profissional de segurança: das 500 firmas recentemente pesquisadas pela Jupiter Research, menos da metade possuía soluções de segurança implementadas para suas redes sem fio. Esse fato é perturbador, especialmente considerando-se que as redes sem fio e os computadores portáteis são duas das tecnologias que vêm crescendo mais rapidamente, desde o aparecimento da Internet. Apesar das redes sem fio oferecerem enormes ganhos de produtividade em algumas empresas, elas, por outro lado, aumentam a exposição das empresas aos riscos de segurança, de maneiras que nem sempre podemos entender. Este artigo analisará as principais vulnerabilidades dos dispositivos sem fio encontradas hoje em dia, algumas descobertas endereçadas a elas e, finalmente, as melhores práticas de segurança para dispositivos sem fio que você deve considerar implementar.

Em 1999, o Institute of Electrical and Electronics Engineers (IEEE) publicou o padrão 802.11b para um grupo de tecnologias que governavam as conexões Ethernet sem fio. Como usuários não autorizados podem receber dados transmitidos por dispositivos sem fio, o padrão 802.11b incluiu o Wired Equivalent Privacy (WEP) para criptografar os pacotes transmitidos. Infelizmente o WEP utiliza chaves estáticas como parte de sua metodologia de criptografia, o que torna relativamente fácil a intercepção de pacotes para discernir as chaves e conseqüentemente descobrir o tráfego codificado. Quando os hackers descobriram essa falha, eles desenvolveram automaticamente programas para decodificação que rapidamente chegaram na Internet, proporcionando até mesmo aos hackers menos experientes as ferramentas necessárias para decodificar quase todas as LANs sem fio baseadas no WEP (WLAN). E, o que é pior, é possível ainda para um agressor modificar os pacotes, comprometendo a integridade dos dados.

A boa notícia é que o IEEE tem uma equipe trabalhando em um padrão (802.11i ) dedicado a fornecer segurança confiável, apesar da validação desse padrão não ser esperada até o fim deste ano. Enquanto isso, a Wi-Fi Alliance, uma associação internacional sem fins lucrativos para dispositivos sem fio, adotou na primavera de 2002 um padrão interno para segurança em dispositivos sem fio, chamado WPA (Wi-Fi Protected Access, Acesso Protegido a Wi-Fi) e iniciou os testes operacionais no final de 2003.

O WPA tem a intenção de abordar todas as falhas do WEP; ele combina autenticação do usuário (o que não era fornecido no WEP) com um elemento de criptografia mais forte originado do padrão 802.11i, chamado Temporal Key Integrity Protocol - TKIP (Protocolo de Integridade de Chaves Temporais). O TKIP inclui a Verificação da Integridade das Mensagens (Message Integrity Check, MIC), que protege contra falsificações e ataques conhecidos como "replay".

Conforme descreveu o site eWEEK.com: "O transmissor de um pacote adiciona por volta de 30 bits (o MIC) por pacote antes de criptografar e transmitir. O destinatário decodifica o pacote e verifica o MIC (baseado no valor derivado da função MIC) antes de aceitá-lo. Se o MIC não corresponder, o pacote será descartado. O MIC garante que os pacotes modificados serão descartados e que os agressores não poderão falsificar mensagens ou enganar os dispositivos da rede para que os autentiquem."

Apesar do WPA reforçar a segurança da WLAN, muitos a vêem como uma solução temporária, pois o equipamento 802.11 futuro com certeza usará o Modo de Contagem com o protocolo CBC-MAC (CCMP), o que é também parte do esboço do 802.11i. O CCMP utiliza Padrões de Criptografia Avançados (AES - Advanced Encryption Standard) para fornecer uma criptografia ainda mais segura. Porém o AES não foi criado para compatibilidade com versões anteriores.

Esteja atento para a porta dos fundos
Para garantir a segurança das redes sem fio, não são necessários somente padrões. Os profissionais de segurança da informática estão preocupados, e com razão, com os vários tipos de ataques que podem ser feitos contra WLANs, incluindo intercepção do tráfego, ataques do tipo "man-in-the-middle", negação de serviços e seqüestro das sessões, citando apenas alguns. Felizmente, muitos dos riscos podem ser reduzidos, seguindo algumas práticas de segurança em dispositivos sem fio, utilizando tecnologias de proteção no cliente e na empresa. Analisemos alguns dos processos envolvidos.

Como você deve saber, o boom das redes sem fio pegou vários departamentos de TI de surpresa, resultando na introdução de vários equipamentos sem fio em empresas, através de indivíduos e grupos de trabalho, e não através do departamento de TI ou outros canais apropriados. O resultado dessa introdução, pela "porta dos fundos", foi que os dispositivos sem fio não passaram pelo processo normal de conhecimento de seus recursos e limitações antes de sua implementação. Conseqüentemente, os esforços para assegurar os dispositivos sem fio apareceram posteriormente ou não foram suficientemente rigorosos.

A primeira etapa na criação de uma WLAN segura é o estabelecimento de uma estratégia em toda a empresa para a sua implementação e uso. Essa estratégia deve abordar as seguintes áreas:

  • Determine as demandas comerciais. Quais são os estímulos e as necessidades comerciais da sua empresa? Identifique claramente os objetivos e certifique-se de que os benefícios são maiores do que os riscos;
  • Integre as políticas para o uso de sem fios com as políticas de TI já existentes. Lembre-se: as soluções sem fio são uma extensão da rede normal;
  • Defina claramente a propriedade da WLAN. Isso garante o controle e resposta quando as ameaças de segurança forem identificadas. Além disso, elimina as intrusões de porta dos fundos pela raiz;
  • Proteja a infra-estrutura existente. Isso é imprescindível: não posicione dispositivos sem fio diretamente na rede interna. Ao invés disso, crie uma WLAN separada com gateways altamente controlados para a rede principal;
  • Eduque os usuários sobre as políticas para o uso de sem fios. Isso inclui treinar os funcionários para configurar seus dispositivos, de forma que possam acessar a rede de forma segura.

Siga as melhores práticas para o uso de WLAN
Para proteger uma WLAN contra ataques, é necessário que as melhores práticas de segurança da empresa estejam atualizadas. Isso deve incluir o seguinte:

  • Controle da área de transmissão e bloqueio de cada ponto de acesso. Muitos pontos de acesso sem fio permitem o ajuste da intensidade do sinal. Posicione seus pontos de acesso o mais distante possível de paredes e janelas externas. Teste a potência do sinal de forma que quase não seja possível obter uma conexão nesses locais. Em seguida, altere as senhas padrões em todos os pontos de acesso. Use uma senha forte para proteger cada ponto de acesso.
  • Para fornecer compatibilidade, adquira todo o hardware de somente um fornecedor. Apesar do padrão IEEE supostamente oferecer compatibilidade entre os dispositivos sem fio provenientes de diferentes fabricantes, as interpretações dos padrões e extensões proprietárias podem evitar a integração total entre dispositivos de marcas diferentes.
  • Use o SSID (Service Set Identifier, Identificador do conjunto de serviços) de forma inteligente. Adquira pontos de acesso que permitam desativar a transmissão SSID. Isso evita que os pontos de acesso transmitam o nome da rede e associem com clientes que não estejam configurados com o seu SSID. Altere também imediatamente o SSIP padrão de um ponto de acesso (e aproveite para alterar também o nome de usuário padrão e a senha do administrador).
  • Faça verificações regulares para identificar pontos de acesso suspeitos. As placas de interface da rede sem fio podem ser configuradas como pontos de acesso, e é necessário pouquíssimo esforço para transformar um computador cliente em um ponto de acesso suspeito. Faça verificações regulares para identificar pontos de acesso suspeitos, usando uma ferramenta de verificação sem fio.
  • Implemente a autenticação de usuários. Exija que os usuários dos pontos de acesso sejam autenticados. Atualize os pontos de acesso para que usem implementações dos padrões WPA e 802.11i. Além disso, ao implementar a autenticação dos usuários nos pontos de acesso, reutilize quaisquer servidores existentes, fornecendo autenticação para seus outros serviços de rede. Isso impede que ex-funcionários utilizem contas de usuários antigas para acessar a rede.
  • Proteja a WLAN com a tecnologia IPsec VPN ou VPN sem cliente. Essa é a maneira mais segura de fornecer autenticação de usuários, integridade de dados e serviços de sigilo de dados em uma WLAN. A tecnologia VPN adicional não depende do ponto de acesso ou da placa LAN sem fio; portanto, não haverá custos de hardware adicionais, pois os padrões de segurança sem fio continuam a evoluir.
  • Use a autenticação de endereços MAC (Media Access Control, Controle de Acesso à Mídia). Se você possui um número controlável de usuários de dispositivos sem fio e apenas alguns pontos de acesso, a abordagem MAC permite a restrição das conexões aos seus pontos de acesso, através da especificação do endereço de hardware único de cada dispositivo autorizado em uma lista de controle de acesso, permitindo que somente aqueles dispositivos específicos se conectem à rede sem fio.
  • Ative o mais alto nível de segurança que o seu hardware suporta. Mesmo que o seu equipamento seja antigo e suporte somente WEP, ele deverá ser ativado. Sempre que possível, use no mínimo um WEP de 128 bits.
  • Implemente firewalls pessoais e proteção antivírus em todos os dispositivos sem fio. A WiFi Alliance recomenda o uso de políticas de segurança corporativas para garantir o uso contínuo.
  • Implemente tecnologias de proteção de classe corporativa. Isso inclui o emprego de um firewall Layer 7 na zona desmilitarizada e firewalls do cliente em cada desktop; serviços VPN que criptografam todo o tráfego entre os dispositivos sem fio; sistemas de detecção de intrusões; software antivírus nos níveis do gateway, servidor e desktops; avaliações de vulnerabilidades regulares da WLAN e ferramentas para compatibilidade com as políticas.

Conclusão
Um estudo recente da Ipsos-Reid descobriu que um funcionário móvel típico, que acessa e-mails através de dispositivos sem fio, ganha uma média de 53 minutos de trabalho extra por dia. Essa tendência aumentou a produtividade e flexibilidade dos funcionários, resultando em trabalho extra para os departamentos de TI. Apesar de uma rede sem fio segura ser um processo desafiador e constante, uma WLAN bem planejada, suportada por políticas de segurança dinâmicas, pode proporcionar aos usuários todos os incríveis benefícios da computação móvel, e até mesmo estender as possibilidades da empresa em tempo real.

Links Relacionados:

assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home