A popularização das conexões sem fio no Brasil em conjunto com o número de profissionais desqualificados para configurá-las é um prato cheio para pessoas mal intencionadas. Pensando nisso, escrevemos este post no intuito de, através de 10 mandamentos, lhe dar dicas rápidas de tudo que pode e deve ser feito para que sua rede wireless esteja de fato, segura.
1.Não definirás o nome da rede com informações do cliente (nome do cliente, da empresa);
Identificando a empresa ou a pessoa dona do router, você abrirá espaço para que tentem, através de engenharia social, conseguir a senha para acesso à rede. Sugiro colocar nomes de deuses gregos (Zeus, Apolo, Hades), capitais brasileiras (Natal, Fortaleza, Aracaju) ou qualquer outra coisa que padronize sua nomenclatura.
2.Usarás criptografia na tua rede e não a deixarás desprotegida com WEP;
Jamais deixe sua rede desprotegida. Se quiser protegê-la use WPA ou WPA2 que são infinitamente mais seguros que WEP.
3.Mudarás as senhas-padrão de administração do roteador e o seu MAC;
Pessoas má intencionadas conhecem os usuários e senhas padrões dos roteadores e podem invadir sua rede através dele (podendo inclusive inutilizar o equipamento com uma atualização incorreta e proposital do firmware). Mude o MAC para que o atacante não identifique o fabricante do equipamento e, através de bugs conhecidos, possa invadi-lo.
4.Escolherás senhas fortes com pelo menos letras e números (Ex:10T3CN0L0G1A);
Ataques de dicionário são comuns e escolhendo senhas com letras e números, a possibilidade de um ataque de dicionários (ou de tentativas humanas mesmo) dar certo é quase nula.
5.Desabilitarás a administração do roteador através da rede sem fio;
Fazendo isso você resolve 90% dos problemas, pois somente pessoas conectadas à rede cabeada (portanto, dentro da empresa) poderão administrar o roteador.
6.Atualizarás regularmente o teu firmware;
Bugs de perfomance e segurança são descobertos todos os dias e sua correção só é possível através da atualização do firmware do equipamento que deve ser checada pelo menos semestralmente.
7.Limitarás o alcance do teu sinal;
Com isto impedirás que pessoas fora do prédio/escritório consigam detectar o sinal (caso o hacker tenha antenas potentes, a limitação do sinal surtirá pouco efeito).
8.Dependendo do teu caso, desabilitarás DHCP e broadcast de SSID;
Fazendo isto você põe mais uma barreira para o atacante. A primeira é que ele não vai conhecer a faixa de IPs que sua rede trabalha e não conseguirá se conectar a ela. A segunda é que ele nem sequer saberá que sua rede sem fio existe (a menos que use ferramentas que descubram SSID não difusos). Só use este método se os usuários forem poucos ou se você tem tempo pra organizar os cliente wireless da rede.
9.Se teus usuários forem poucos, usarás cadastramento de MACs;
Fazendo isto definirás quem pode ou não se conectar a tua rede. Atrelado ao segundo mandamento, trás uma boa parcela de segurança à sua rede.
10.Seguirás os mandamentos acima
1.Não definirás o nome da rede com informações do cliente (nome do cliente, da empresa);
Identificando a empresa ou a pessoa dona do router, você abrirá espaço para que tentem, através de engenharia social, conseguir a senha para acesso à rede. Sugiro colocar nomes de deuses gregos (Zeus, Apolo, Hades), capitais brasileiras (Natal, Fortaleza, Aracaju) ou qualquer outra coisa que padronize sua nomenclatura.
2.Usarás criptografia na tua rede e não a deixarás desprotegida com WEP;
Jamais deixe sua rede desprotegida. Se quiser protegê-la use WPA ou WPA2 que são infinitamente mais seguros que WEP.
3.Mudarás as senhas-padrão de administração do roteador e o seu MAC;
Pessoas má intencionadas conhecem os usuários e senhas padrões dos roteadores e podem invadir sua rede através dele (podendo inclusive inutilizar o equipamento com uma atualização incorreta e proposital do firmware). Mude o MAC para que o atacante não identifique o fabricante do equipamento e, através de bugs conhecidos, possa invadi-lo.
4.Escolherás senhas fortes com pelo menos letras e números (Ex:10T3CN0L0G1A);
Ataques de dicionário são comuns e escolhendo senhas com letras e números, a possibilidade de um ataque de dicionários (ou de tentativas humanas mesmo) dar certo é quase nula.
5.Desabilitarás a administração do roteador através da rede sem fio;
Fazendo isso você resolve 90% dos problemas, pois somente pessoas conectadas à rede cabeada (portanto, dentro da empresa) poderão administrar o roteador.
6.Atualizarás regularmente o teu firmware;
Bugs de perfomance e segurança são descobertos todos os dias e sua correção só é possível através da atualização do firmware do equipamento que deve ser checada pelo menos semestralmente.
7.Limitarás o alcance do teu sinal;
Com isto impedirás que pessoas fora do prédio/escritório consigam detectar o sinal (caso o hacker tenha antenas potentes, a limitação do sinal surtirá pouco efeito).
8.Dependendo do teu caso, desabilitarás DHCP e broadcast de SSID;
Fazendo isto você põe mais uma barreira para o atacante. A primeira é que ele não vai conhecer a faixa de IPs que sua rede trabalha e não conseguirá se conectar a ela. A segunda é que ele nem sequer saberá que sua rede sem fio existe (a menos que use ferramentas que descubram SSID não difusos). Só use este método se os usuários forem poucos ou se você tem tempo pra organizar os cliente wireless da rede.
9.Se teus usuários forem poucos, usarás cadastramento de MACs;
Fazendo isto definirás quem pode ou não se conectar a tua rede. Atrelado ao segundo mandamento, trás uma boa parcela de segurança à sua rede.
10.Seguirás os mandamentos acima
Dica do I/O Tecnologia