Por Gabriel Torres e Cássio Lima em 27 de agosto de 2009
Introdução
Nós finalmente podemos dizer que as redes sem fio se tornaram padrão para a conexão de computadores. Placas de rede sem fio já são um acessório padrão nos notebooks há algum tempo. Praticamente todos os modelos de roteadores – periférico que permite você compartilhar a sua Internet banda larga com vários micros – vêm com antena para redes sem fio, permitindo que a sua conexão com a Internet seja compartilhada não só entre os micros conectados via cabo ao roteador, mas também com aqueles dotados de antena para rede sem fio. Com a popularização das redes sem fio também aumentou a quantidade de usuários vítimas de invasões de hackers que tiveram suas conexões ou até mesmo dados importantes acessados e/ou roubados. Neste tutorial ensinaremos a você o básico sobre segurança de redes sem fio: a troca da senha padrão do roteador, como atualizar o firmware do roteador e como habilitar e usar o tipo correto de criptografia.
Os roteadores de banda larga são muito fáceis de serem instalados. Basta plugar a sua conexão banda larga no conector chamado WAN e os micros de sua casa ou escritório nas portas chamadas LAN, fazer uma configuração básica do tipo de conexão banda larga que você tem (ADSL ou cabo) e pronto, tudo estará funcionando de primeira. Se o seu roteador tiver antena sem fio, os computadores instalados nas proximidades e que sejam dotados de antena para conexão de rede sem fio estarão conectados à Internet e à sua rede interna também.
É aí que mora o perigo. Como atualmente a maioria dos roteadores de banda larga já vem de fábrica com rede sem fio habilitada, você terá uma rede sem fio pronta para uso em sua casa ou escritório mesmo se você não for usá-la! Além disso, a maioria dos usuários se empolga que a conexão sem fio funcionou de primeira e se esquece de um detalhe importantíssimo. Todo e qualquer computador com antena para rede sem fio instalado nas proximidades terá acesso à sua rede. Isso inclui os computadores do seu vizinho e de hackers querendo ter acesso aos seus dados ou pelo menos ter a moleza de navegar na Internet de graça (enquanto você é quem paga a conta). Relatos de hackers que saem pelas ruas dos grandes centros urbanos dotados de um notebook caçando redes sem fio sem qualquer tipo de proteção são cada vez mais comuns.
Para resolver este problema, você precisa desabilitar a funcionalidade de rede sem fio do seu roteador, caso não for usá-la, ou habilitar a criptografia, caso queira montar uma rede sem fio. Esta configuração deve ser feita tanto no roteador quando nos computadores que farão parte da sua rede sem fio e/ou que terão acesso à sua conexão de Internet banda larga.
Existem vários algoritmos e métodos de criptografia disponíveis, sendo que os mais comuns são WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) e WPA-2. O problema é que os métodos WEP e WPA provaram ser falhos, significando que se sua rede sem fio estiver configurada para usá-los ela estará vulnerável. Pior do que saber que sua rede está desprotegida é ter a falsa sensação de proteção, quando na verdade sua rede está totalmente vulnerável.
Outro problema é que vários usuários se esquecem de alterar a senha padrão para ter acesso ao painel de controle do roteador, o que é praticamente o mesmo de deixar o roteador sem senha: quando um hacker tem acesso à tela de login de um roteador a primeira coisa que ele tenta é a senha padrão de fábrica (normalmente “admin” ou “administrator”). Portanto você também precisa mudar isto.
Em resumo, após instalar o seu roteador de banda larga você precisa fazer o seguinte:
- Alterar a senha administrativa.
- Desabilitar o gerenciamento remoto.
- Atualizar o firmware do roteador para a versão mais nova para mantê-lo livre de falhas conhecidas.
- Desabilitar a funcionalidade de rede sem fio caso não for usá-la.
- Habilitar ou alterar a criptografia para WPA-2 tanto no roteador quanto nos computadores da rede.
Mudando a Senha Administrativa
A primeira coisa que você precisa fazer é acessar o painel de controle do seu roteador. Isso é feito via browser, usando um endereço especial (como http://192.168.0.1, http://192.168.1.1 ou http://192.168.0.254 – o endereço exato dependerá do modelo e deve ser conferido em seu manual). Primeiro você precisará entrar o nome de usuário e senha, que estão escritos no manual do roteador (normalmente “admin”/“admin” ou “administrator”/“administrator”).
Feito isso, procure uma opção chamada “password”, “change password” ou similar. O nome exato e localização dependerão do fabricante e do modelo do roteador, e é praticamente impossível para nós listarmos todas as localizações possíveis. Neste tutorial usamos um roteador da Linksys e neste produto esta opção estava no menu “Administration”. Como você pode ver na Figura 1, tudo o que você precisa fazer é digitar a nova senha em “Router Password”, digitá-la novamente em “Re-enter to confirm” e clicar em “Save Settings”. Alguns roteadores, como o que usamos, não permite a você mudar o nome do usuário, apenas a senha.
clique para ampliar
Figura 1: Mudando a senha administrativa.
Após salvar as modificações, um novo login usando a nova senha será necessário.
Desabilitando o Gerenciamento Remoto
Alguns roteadores vêm configurados com a opção de gerenciamento remoto habilitada por padrão. Esta opção permite que qualquer pessoa acesse o painel de controle do roteador a partir da Internet. Por exemplo, vamos supor que o endereço IP público que a sua operadora de acesso deu seja 200.200.200.200. Se o gerenciamento remoto estiver habilitado, qualquer pessoa na Internet apontando o seu navegador para o seu endereço IP (ex: http://200.200.200.200) terá acesso ao painel de controle do seu roteador (é claro que como a senha de acesso estará habilitada, o potencial hacker se deparará com a tela de login do painel de controle). Este com certeza é uma das maneiras de se conseguir acesso à sua rede e é por isso que o gerenciamento remoto deve ser desabilitado, a não ser que você for realmente usar este recurso (alguns técnicos deixam esta opção habilitada para que eles possam gerenciar as redes de seus clientes remotamente - neste caso o técnico precisará saber o endereço IP público da rede do cliente, é claro).
Uma dica poderosa se você for usar o gerenciamento remoto é alterar a porta de acesso. Por exemplo, se você alterar a porta de acesso para 8081, pessoas tentando abrir o seu endereço IP sem entrarem o número da porta em seus pedidos (ex: http://200.200.200.200) não conseguirão ter acesso ao painel de controle. Para acessar o painel de controle remotamente neste caso você terá de entrar o símbolo de dois pontos seguido pelo número da porta (ex: http://200.200.200.200:8081), criando uma camada de dificuldade extra para se acessar o painel de controle do roteador remotamente.
A localização exata onde você configura o gerenciamento remoto varia de acordo com a marca e modelo do roteador. No roteador que estávamos usando, esta opção estava disponível em "Administration", na mesma tela da configuração de senha de acesso. Veja como nós desabilitamos a opção "Remote Management" na Figura 1 apresentada na página anterior.
Atualização do Firmware
O Firmware é um programa que roda dentro de qualquer dispositivo de hardware. No caso do seu roteador de banda larga, você precisa manter este programa atualizado para assegurar que sua rede está protegida contra falhas conhecidas e, o mais importante, vulnerabilidades.
Entre no painel de controle do seu roteador como descrito na página anterior e procure um local onde mostra a versão atual do firmware. No caso do nosso roteador, a versão do firmware é exibida no canto superior direito de todas as páginas.
Alguns roteadores permitem a você fazer o download e atualizar o firmware para a versão mais nova simplesmente clicando em um botão no painel de controle. Caso você tenha sorte de ter um modelo desse tipo, basta procurar por uma opção que faça o download e atualize o firmware automaticamente. Na maioria dos casos, no entanto, você precisará fazer o download de um arquivo para seu computador, subir este arquivo para o roteador e então proceder com a atualização do firmware.
Para baixar a versão mais recente do firmware, vá até o site do fabricante e procure na seção de download ou suporte se há um firmware mais recente para seu roteador. Você precisará saber o modelo exato do seu roteador e possivelmente a sua revisão (dica: olhe na etiqueta disponível no produto). Você pode clicar aqui para ver uma lista completa dos fabricantes e seus respectivos sites.
Após localizar o arquivo, verifique se ele tem um número de versão maior do que o usado atualmente pelo o seu roteador. Claro que se o seu roteador já estiver usando a mais nova versão do firmware disponível não há a necessidade de atualizá-lo. Baixe o arquivo para o seu computador. Normalmente o arquivo tem extensão .zip, o que significa que você precisará descompactá-lo antes de subi-lo para o roteador.
Em seguida localize no painel de controle do seu roteador onde você pode atualizar o firmware. A localização exata dependerá do fabricante e modelo do roteador. Em nosso caso esta opção é chamada “Firmware upgrade” e está disponível no menu “Administration”.
Nesta tela, mostrada na Figura 2, você precisará localizar em seu computador o arquivo do firmware descompactado (que normalmente tem a extensão .bin) e clicar na caixa “Upgrade”.
clique para ampliar
Figura 2: Tela de atualização do Firmware.
Desabilitando a Rede Sem Fio
Se você não for usar a função de rede sem fio do seu roteador de banda larga, você deve desabilitá-la, caso contrário hackers poderão facilmente acessar sua rede usando um computador com placa de rede sem fio.
O nome exato e a localização desta opção variam de acordo com o fabricante e modelo do roteador. Em nosso caso esta opção estava disponível em “Wireless”, “Basic Wireless Settings”, “Wireless Network Mode”. Em teoria esta opção configura o modo da rede sem fio (ou seja, velocidade), mas ela também apresenta uma opção chamada “Disabled”, como você pode ver na Figura 3. Após selecionar esta opção, clique em “Save Settings”. Claro que se você quiser montar uma rede sem fio no futuro você precisará configurar esta opção com o modo sem fio (velocidade) que deseja usar.
clique para ampliar
Figura 3: Desabilitando a rede sem fio.
Habilitando a Criptografia
Agora você precisa habilitar a criptografia WPA-2. Como mencionamos, os roteadores vêm de fábrica sem criptografia habilitada, o que significa que qualquer pessoa poderá ter acesso a sua rede! A localização exata onde esta configuração é feita dependerá do modelo e marca do seu roteador. Em nosso roteador esta configuração estava disponível em “Wireless”, “Wireless Security”. Várias opções de criptografia estão disponíveis, como você pode ver na Figura 4. Escolha WPA-2 ou “WPA2 Personal” (a opção “WPA2 Enterprise” permite o uso de um servidor de autenticação RADIUS para usuários fazerem login na rede; este recurso é normalmente usado apenas em redes corporativas). Se o seu roteador não tiver WPA2 como opção, isto significa que ele não suporta WPA2 (provavelmente por se tratar de um modelo antigo). Nossa sugestão seria que você atualizasse o firmware do roteador, mas isto já deve ter sido feito. Neste caso nós recomendamos que você substitua o seu roteador, já que sua rede não estará segura com ele.
clique para ampliar
Figura 4: Opções de criptografia. Selecione “WPA2-Personal”.
Após selecionar WPA-2 como o mecanismo de criptografia a ser usado, você precisará criar uma chave de segurança (pense nela como sendo uma senha para acessar sua rede sem fio). Os usuários que terão acesso à sua rede sem fio precisarão configurar esta chave em seus computadores. Você precisa criar uma chave aleatória contendo 63 dígitos alfanuméricos. Pode até ter menos, mas não recomendamos. Basta digitar caracteres aleatórios no teclado, observando apenas para digitar algo que não faça sentido (veja no exemplo da Figura 5; obviamente não use a chave do nosso exemplo). Após digitar esta chave de 63 caracteres, selecione-a, copie-e para o bloco de notas e a imprima. Não se esqueça de salvar clicando em “Save Settings”.
clique para ampliar
Figura 5: Configurando a chave de criptografia.
Configurando os Micros Clientes
O último passo é obviamente configurar os computadores que terão acesso a sua rede sem fio para usar a chave criptográfica que você configurou, caso contrário eles não conseguirão ter acesso a sua rede.
Para isso, basta clicar no ícone de rede sem fio na barra de tarefas (um dos pequenos ícones próximos ao relógio do computador) e selecionar sua rede sem fio na lista que aparecerá (veja Figura 6). Para assegurar que o tipo correto de criptografia está habilitado, verifique se “WPA2” está listado para sua rede. Em nosso caso, a rede é chamada “Gabriel”, veja como WPA2 está sendo listada para esta rede.
A propósito. Mude o nome padrão da rede (SSID) se você já não tiver feito isso. Se você usar o nome padrão do roteador (por exemplo, “linksys”) você pode acabar tendo várias redes com o mesmo nome na mesma área, o que pode confundir na hora de identificar que rede é a sua da lista de redes detectadas.
clique para ampliar
Figura 6: Selecionando a rede.
Após selecionar sua rede e clicar em “Conectar”, o sistema operacional pedirá para você digitar a chave da rede (aqueles caracteres aleatórios de 63 dígitos) duas vezes. Você tem que fazer isto apenas na primeira vez que os computadores se conectarem na sua rede, após isso o computador memoriza a chave.
clique para ampliar
Figura 7: Digitando a chave criptográfica.
Agora você está seguro para usar sua rede e pode ter um sono tranquilo à noite!
Originalmente em http://www.clubedohardware.com.br/artigos/Seguranca-Basica-em-Redes-Sem-Fio/963
© 1996-2012, Clube do Hardware. Todos os direitos reservados.
É expressamente proibida a reprodução total ou parcial do conteúdo deste site e dos textos disponíveis, seja através de
mídia eletrônica, impressa, ou qualquer outra forma de distribuição. Os infratores serão indiciados e punidos com base na lei nº 9.610 de 19/02/1998.
Não nos responsabilizamos por danos materiais e/ou morais de qualquer espécie promovidos pelo uso das informações contidas no Clube do Hardware.
