1. Trocar a senha padrão dos equipamentos de rede sem fio
Praticamente todos os equipamentos já vêm com uma conta e senha padrão para acesso ao painel de administração do equipamento. A recomendação, ao configurar o equipamento, é alterar a senha para evitar acessos indevidos especificando uma senha utilizando as normas gerais de definição de senhas (misturerando caracteres numéricos, alfabéticos e de controle, não utilize palavras que venham em dicionário ou que tenham relação com você, etc.). Este trabalho será simples e evitará que qualquer pessoa obtenha o controle do ponto de acesso e o configure ao seu gosto. Evidentemente, como medida adicional, se não vamos utilizar a rede sem fio por um período de tempo determinado, o melhor que podemos fazer será desconectar o ponto de acesso.
2. Aplicar segurança WEP/WPA/WPA2
É essencial utilizar algum sistema de criptografia para proteger o conteúdo de suas comunicações. Embora o esquema de criptografia WEP tenha sido rompido, é melhor utilizá-lo que transmitir às claras, sem criptografia alguma. No caso de optar mesmo pelo WEP, use sempre uma chave da maior extensão possível (256 bits). Em geral, você deverá configurar a criptografia selecionada tanto nos pontos de acesso como nos dispositivos que queiram acessar a rede Wi-Fi, utilizando em todos os elementos a mesma chave escolhida.
Neste processo, é preciso ter cuidado com as incompatibilidades. Isto é, se configuramos um ponto de acesso com o sistema WPA2, todos os demais elementos que queiram acessar tal ponto devem ser compatíveis com tal sistema e pode ser que você utilize dispositivos (por exemplo, equipamentos Palm) que não o sejam. É claro que é possível melhorar a segurança das redes sem fio protegidas pelos mecanismos WEP/WPA/WPA2 se, de tempos em tempos, trocarmos as senhas de acesso (quinzenal ou mensalmente) tanto no ponto de acesso como nos equipamentos conectados.
3. Ativar a filtragem de endereços MAC
O endereço de Controle de Acesso ao Meio ou Media Access Control (MAC) identifica cada um dos pontos ou equipamentos conectados a uma rede. Este endereço MAC é único para cada cartão de comunicações e está gravado no firmware do dispositivo, o que faz com que seja impossível mudá-lo. Se no ponto de acesso ativamos a filtragem de endereço MAC e introduzimos uma lista com os endereços MAC autorizados a seconectar em nossa rede, só aqueles equipamentos cujo endereço MAC estiver incluído em tal lista poderão se conectar. Porém, este mecanismo é altamente vulnerável porque os endereços MAC dos equipamentos conectados via WEP são transmitidos em aberto (sem criptografar) e qualquer invasor que disponha dos métodos adequados poderá descobrir este endereço e simulá-lo posteriormente no seu PC.
4. Modifique o SSID padrão e torne-o oculto
O SSID, Identificador do Conjunto de Serviços (ou Service Set Identifier) é utilizado como identificador dos pontos de acesso. Em geral, os pontos de acesso Wi-Fi têm associado um SSID predeterminado, como default, SSID ou wireless. Se mudarmos este SSID, dificultaremos o trabalho do atacante. Caso você utilize wi-fi no seu ambiente corporativo, não é bom utilizar um SSID com o nome da sua empresa para não dar pistas.
Depois de modificar o SSID, é interessante torná-lo oculto. Para isso, você deverá desativar o modo de difusão do SSID (SSID broadcasting). Se você desativar a difusão do SSID, deverá configurar manualmente cada equipamento que queira usar a rede. Sem dúvida, perderá em comodidade, mas terá um ganho em questão de segurança. Com estes dois mecanismos (modificação do SSID e interrupção da sua difusão), estaremos dificultando o descobrimento da nossa rede Wi-Fi por um usuário não desejado.
5. Limitar o número de equipamentos que possam acessar simultaneamente a rede
Se o seu access point permite, é interessante limitar o número de equipamentos que possam se conectar com ele simultaneamente afim de diminuir as chances de uma invasão caso o limite seja alcançado.
6. Desativar o servidor DHCP
Desta forma, todo equipamento que quiser se conectar à nossa rede Wi-Fi deverá ser configurado manualmente, especificando os seguintes dados: endereço IP, porta, máscara de sub-rede e os DNS primário e secundário. Poderemos pensar em utilizar valores de endereços IP que pertençam a categorias não padrões, para dificultar o trabalho do atacante (se este conhecer a categoria de IP utilizada, nosso trabalho terá sido em vão). Por exemplo, a categoria típica de endereços IP é o 192.168.X.X, e o endereço IP predeterminado do ponto de acesso costuma ser 192.168.1.1. Se o ponto de acesso permitir, seria interessante mudar estes valores.
Não existe uma solução que garanta 100% de segurança de uma rede sem fio, mas seguindo as dicas acima você tornará as coisas realmente mais difíceis para os possíveis invasores. Em resumo, não deixe nada com os ajustes padrões, configure sempre os acessos manualmente e utilize um mecanismo de segurança WPA ou WPA2.
Ref: http://www.umtudo.com/como-aumentar-a-seguranca-da-sua-rede-sem-fio
Tags:
Wireless
Todas as dicas, apesar de válidas, impedem apenas o intruso 'eventual', que apenas procura uma rede sem fio aberta naquele momento.
ResponderExcluirQualquer outro intruso, com mais conhecimento, tempo e motivação, pode burlar todas as camadas de segurança apresentadas, sendo que, de todas elas, a que apresenta maior eficácia é a de limitar a quantidade de equipamentos permitidos na rede.
O melhor jeito do usuário doméstico se proteger é usar WPA2 com uma senha forte e alterá-la freqüentemente. Há outras medidas viáveis para dificultar o acesso de intrusos, para isso consulte um profissional especialista em redes sem fio.
E como o autor disse, não existe solução que garanta 100% de segurança. O que vale é dificultar o acesso tornando esta tarefa penosa e demorada para o intruso a ponto de não valer a pena tentar.
Exatamente Eduardo.
ResponderExcluirA boa e velha segurança da informação sempre acabam caindo quando o usuário não segue as orientações ou quando o invasor possui criatividade e uma boa dose de engenharia social. Nunca temos 100% de segurança.
Porém, criar alguns hábitos, tornando a vida de invasores menos criativos, difícil, dificulta o acesso indevido. Temos que considerar também que a grande maioria dos invasores pertence a uma classe "oportunista" e sempre vai procurar redes com brechas mais aparentes. Poucos vão realmente procurar uma forma de invadir de modo técnico e criativo.
Muito bem colocado a informação. Continuem postando. ;)