+ Responder ao Tópico



  1. #1

    Padrão Como proteger a nossa rede Wireless

    Boas,
    Vou tentar explicar da melhor maneira possivel como podemos proteger a nossa rede wireless, existem muitas opcoes que se pode fazer e usar, umas boas, outras ja ultrapassadas mas que por um lado pode-se ainda usar. Existem muitas coisas e por isso vou tentar explicar o melhor delas de modo a se poder perceber o que cada uma é e o que cada uma faz.
    Relembro tambem que as coisas que aqui vou falar sao de um tipo geral, existem equipamentos que permitem fazer este tipo de configuracoes e outros nao, como nao vou falar especificamente em equipamentos, falo de um modo geral nas opcoes que apresentam.
    Numa Rede Wireless existem basicamente 3 factores comuns, a propagação do nome da rede (SSID), a rede em si (DHCP) e outros criterios.
    SSID Service Set IDentifier: isto basicamente é o que identifica a nossa rede wireless, é isso que o router ou as placas em modo AD-HOC "espalham" de modo a poderem ser captadas. Primeiro passo é alterar o nome de fabrica que o nosso router tem a nivel do seu SSID, coloquem algo que seja facil de lembrar e, o mais importante, desactive o Broadcast, desactivando isto so as pessoas que saibam o nome da rede a podem identificar. Porquê se deve de desligar? simples, geralmente o uso nao autorizado das redes wireless é feito devido à rede estar a ser anunciada a todos, se desligarem o Broadcast do SSID e alterarem o seu nome, torna-se bastante mais dificil a identificacao e ligacao à vossa rede.
    WEP Wired Equivalent Privacy: basicamente é um protocolo de encriptacao, isto devia de ser usado para encriptar a vossa ligacao tornando-a mais segura pois, so seria possivel ligar-se e receber informação da rede se tivessem o conhecimento da key de encriptacao. Este metodo tornou-se obsoleto à ja algum tempo, qualquer computador hoje em dia consegue desencriptar uma key de 128bits muito rapidamente, no entanto usar uma rede com WEP activo serve geralmente para correr com aqueles nossos vizinhos abelhudos que gostam de andar a tentar ligar-se às redes alheias NO ENTANTO, como se trata de protocolos de encriptacao, para que a ligacao funciona em optimas condicoes é preciso que o router esteja em optimo estado e que, acima de tudo, o Sistema Operativos das maquinas ligadas à rede estejam em perfeitas condicoes, isto pk, sempre que existe troca de informacao entre router e pcs e vice versa, ambas as maquinas têm de encriptar e desencriptar toda a informacao que passa, se alguma estiver com problemas toda a rede vai sofrer uma enorme quebra de performance, toda a situacao agrava-se mais com o aumento do nivel de encriptacao. Eu nao recomendo o uso de WEP pois ja esta mais que ultrapassado.
    WPA Wi-Fi Protected Access: este metodo de encriptacao é uma versao bastante melhorada do WEP pois ja tem autenticacao. Existem 2 metodos de WAP, o Radius (que necessita de uma 3ª maquina a fazer de servidor de autenticacao) e WPA-PSK que basicamente é criar uma Password encriptada de acesso à rede. Visto que ter uma terceira maquina para servidor e autenticacao é algo que muitos ainda nao podem ter, o ideial pode ser em activar unicamente a WPA-PSK e na sua configuracao criar uma password Alpha-Numerica, nao muito directa, de modo a que, so sabendo essa password é possivel estabelecer uma ligacao segura à rede.
    DHCP Dynamic Host Configuration Protocol: O servidor que fornece IP's às maquinas que se ligam à nossa Rede Wireless, uma das seguranças mais importantes da nossa rede é limitar o numero de ligações à mesma, como tal, um dos metodos que se deve de usar é, 1º Mudar a gama de IP's que o router ira usar, geralmente a gama de ips é 192.168.xxx.xxx, o ideial é mudar essa gama de IP's para algo fora desse Standard MAS mantendo a classe de IP's.

    Explicação

    Para quem nao sabe, existem regras a nivel da atribuicao de IP's pois, caso nao existisse a Internet e tudo o que mexe com IP's seria um perfeito CAOS, como tal, foram criadas regras:
    A IANA Internet Assigned Numbers Authority criou uma serie de Standards que se deve de guiar para nao criar confusao, como tal foi estabelecido que, para redes privadas, deveria de ser usado 3 gamas de ips:
    10.0.0.0 - 10.255.255.255
    172.16.0.0 - 172.31.255.255
    192.168.0.0 - 192.168.255.255
    Ninguem nos obriga a usar exclusivamente estas gamas MAS usando estas nao iremos ter problemas de acesso a paginas existentes na internet. Exemplo: estou a configurar a minha rede privada e escolho, em vez de ips destas 3 gamas, usar por exemplo ips da gama 213.22.xxx.xxx, ora se existirem paginas na internet que usem tambem estas gamas, sempre que um pc da minha rede privada quiser aceder a essas paginas ira pensar que as mesmas se encontram dentro da rede privada e, como tal, nunca as ira conseguir abrir. Foi para evitar estes problemas que foram criadas estas regras/standards.
    mais informacoes:
    http://www.iana.org/faqs/abuse-faq.htm
    http://www.isi.edu/in-notes/rfc1918.txt
    http://www.rfc-editor.org/rfc/rfc3330.txt (IPV4 Geral)
    http://www.rfc-editor.org/rfc/rfc2373.txt (IPV6 Geral)

    EOF

    Seguindo ainda dentro do DHCP, para alem de se mudar a gama, devemos de LIMITAR tambem quantos ips o servidor devera distribuir, como sabemos quantos? fazendo uma estimativa de quantos pcs se irao ligar à rede e depois acrescentar +1, por exemplo, a nossa rede vai ter 3 maquinas ligadas, devemos de limitar o DHCP a 4 IP's e nada mais, caso seja preciso depois no futuro podemos sempre acrescentar mais entradas.
    Por fim, devemos de DESLIGAR o DHCP, sendo este um dos passos mais importantes pois, com a gama de ips mudada, com o DHCP limitado e desligado, so as pessoas com conhecimento das condicoes de como a rede esta montada se podera ligar à mesma.

    MAC Address FILTER Media Access Control ADDRESS FIlter: Filtrar as placas que têm autorizacao para se ligar à nossa rede, hoje em dia ja todos ou quase todos os routers wireless têm esta opcao, a ideia é SO permitir a entrada na nossa rede, aquelas placas que têm explicita AUTORIZACAO para se ligar nela, existem sempre algures nos routers ou AP's uma listagem chamada de MAC FILTER que permite colocar-se os MACs das placas que queremos.
    Como descubrir o MAC Adress das vossas placas? vejam esta pagina que explica bastante bem, em varios sistemas, como o fazer.

    Por Ultimo: Dados de Autenticacao no Router este é dos pontos mais importantes, alias, deve de ser o primeiro e nao o ultimo ponto a ser feito, deve-se de imediatamente alterar os dados de login que o router tras de fabrica pois assim, so nos, sabendo os novos dados, podemos mexer no router.

    Outros Metodos: existem mais metodos de proteccao, mas todos eles implicao a existencia de terceiras maquinas a fazer de servidor de autenticacao, podemos montar Servidores em Active Directory fazendo autenticacao por Certificado Digital, por autenticacao de maquina, por Radius server (que ja mencionei), por n maneiras diferentes aos quais nao irei falar pois, para um user comum nao sao opcoes validas.

    Generalizando e Concluido:
    Para protegerem a vossa rede, na minha humilde opinião, deverão fazer as seguintes Opcoes: Mudar os dados de Autenticação no router, isto é, Alterar o Username e Password; mudar e desactivar o SSID; mudar, limitar e desactivar o DHCP; nao usar WEP mas sim activar com password Alpha-Numerica WPA-PSK e por ultimo activar MAC FILTER.
    Muitos vao dizer que todas estas opcoes sao possivel de serem ultrapassadas, sim é verdade, mas para o fazer o user terá bastante trabalho, hoje em dia, nao existem 100% de segurança quando falamos de coisas informaticas MAS é sempre possivel aumentar essa segurança ou pelo menos dificultar a vida a quem a tenta quebrar.
    Espero ter sido o mais exclarecedor possivel, estamos a falar de um topico bastante extenco que eu tentei minimizar e exclarecer o melhor possivel neste momento, se quiserem dar as vossas opinioes e/ou completar estejam à vontade.

  2. #2

    Padrão Como proteger a nossa rede Wireless

    cara.... o que vc quer dizer com "limitar e desactivar o DHCP"??? desativar o serviço DHCP?? mas e ae, como as maquinas vão pegar o IP?? boiei :?

    e tb nunca achei uma opção em que pudesse desativar a SSID

  3. #3

    Padrão Como proteger a nossa rede Wireless

    Citação Postado originalmente por gargwlas
    cara.... o que vc quer dizer com "limitar e desactivar o DHCP"??? desativar o serviço DHCP?? mas e ae, como as maquinas vão pegar o IP?? boiei :?

    e tb nunca achei uma opção em que pudesse desativar a SSID
    O ideal e vc separa sua rede atraves de interface vitual e colocar ip fixo, ou entao o melhor!! autenticar via pppoe e show!! ainda nao consegui fazer mais to batalhando!!

  4. #4
    Visitante

    Padrão Como proteger a nossa rede Wireless

    Citação Postado originalmente por oyama
    Citação Postado originalmente por gargwlas
    cara.... o que vc quer dizer com "limitar e desactivar o DHCP"??? desativar o serviço DHCP?? mas e ae, como as maquinas vão pegar o IP?? boiei :?

    e tb nunca achei uma opção em que pudesse desativar a SSID
    O ideal e vc separa sua rede atraves de interface vitual e colocar ip fixo, ou entao o melhor!! autenticar via pppoe e show!! ainda nao consegui fazer mais to batalhando!!
    Amigo oyama com crtza a melhor maneira de se amenizar as fragilidades de segurança de redes Wireless principalmente é através de PPPOE, ainda ñ tive tempo nem de começar a implementar pppoe aki em meu prov, mas ja to pensando em agora, no FREBSD tem ele nativo é SHOW de bola!!!
    Amarrar login+senha+mac+banda tem q bater tudo!!! Um amigo meu de um Prov no RJ tem ja implementado, resolveu 100% os problemas que ele tinha, na rede ele bloq todos os protocolos e ai diminui o trafego em quase 70% :clap: :clap: Imagina só o ganho que se tera nos Ap´s é um espetaculo, ja pensei em ir até la conhecer de perto, mas o meu grande problema como o da maioria é o bendito " TEMPO " mas por esses dois meses estarei montando um FreeBSD e ja começar os primeiros testes!!!



  5. #5

    Padrão Como proteger a nossa rede Wireless

    Citação Postado originalmente por Anonymous
    Citação Postado originalmente por oyama
    Citação Postado originalmente por gargwlas
    cara.... o que vc quer dizer com "limitar e desactivar o DHCP"??? desativar o serviço DHCP?? mas e ae, como as maquinas vão pegar o IP?? boiei :?

    e tb nunca achei uma opção em que pudesse desativar a SSID
    O ideal e vc separa sua rede atraves de interface vitual e colocar ip fixo, ou entao o melhor!! autenticar via pppoe e show!! ainda nao consegui fazer mais to batalhando!!
    Amigo oyama com crtza a melhor maneira de se amenizar as fragilidades de segurança de redes Wireless principalmente é através de PPPOE, ainda ñ tive tempo nem de começar a implementar pppoe aki em meu prov, mas ja to pensando em agora, no FREBSD tem ele nativo é SHOW de bola!!!
    Amarrar login+senha+mac+banda tem q bater tudo!!! Um amigo meu de um Prov no RJ tem ja implementado, resolveu 100% os problemas que ele tinha, na rede ele bloq todos os protocolos e ai diminui o trafego em quase 70% :clap: :clap: Imagina só o ganho que se tera nos Ap´s é um espetaculo, ja pensei em ir até la conhecer de perto, mas o meu grande problema como o da maioria é o bendito " TEMPO " mas por esses dois meses estarei montando um FreeBSD e ja começar os primeiros testes!!!



    Esqueci de me logar!!!
    e o negrito foi vacilo....

  6. #6
    master2005
    Visitante

    Padrão RE:Dicas

    Pessoal para quem eh iniciante estas informacoes sao de grande valor,
    outra boa coisa a fazer eh se entrar via porta serial, ou mesmo telnet se disponivel e alterar o login e senha telnet DEFAULT, pois em casos de
    se fazer um reset geral volta as de fabrica que ja sao conhecidas, entao
    modificando elas no default, so nos as sabemos.

    []s
    Master2005

  7. #7

    Padrão Como proteger a nossa rede Wireless

    quanto ao que foi falado tudo pode ser quebrado... wep é fraco como jah foi demonstrado por varios artigos, mac filter , o mac pode ser alterado, rede sem fio.. é cruel. uma das melhores solucoes é usar autenticacao como foi citado, ou entao PPPoE ou VPN ... ou os 2 hehe

  8. #8

    Padrão os 2?

    Hehhe..
    Os 2 é sacanagem..heheheh

  9. #9

    Padrão Re: os 2?

    Citação Postado originalmente por cebolark
    Hehhe..
    Os 2 é sacanagem..heheheh
    Cebolak... tu que já trabalhou bastante com PPOE, pq nao faz um artigo pra nós aí?

    :good:

  10. #10

    Padrão sim sr.

    opa,

    assim que tiver um tempinho eu faço..

    mas na under ja tem um sobre pppoe

  11. #11
    Visitante

    Padrão Autenticação via web tipo Vex.

    Bom tópico.

    Talvez aqui vocês consigam me ajudar.
    Eu pesquisei no Fórum mas ainda não consegui encontrar algo parecido.

    Eu queria implementar na minha rede wireless um esquema de autenticação tipo o do Vex.

    Ao conectar na rede wireless, que no meu caso precisa ser aberta, gostaria que ao abrir o browser para navegar o meu cliente recebesse uma página de aviso (uma espécie de contrato) e somente fosse permitido a ele navegar caso aceite o contrato. Se ele não aceitar o acesso fica bloqueado, se aceitar tá liberado.

    No vex (hotspots espalhados pelo Brasil afora, principalmente em aeroportos) tem algo similar. A rede é aberta e ao tentar navegar o usuário recebe uma página onde é obrigado a se autenticar. Caso não se autentique ele não consegue fazer mais nada.

    Alguém tem uma idéia de como posso fazer isso?

    Valeu.

  12. #12

    Padrão Re: os 2?

    Citação Postado originalmente por Jim
    Citação Postado originalmente por cebolark
    Hehhe..
    Os 2 é sacanagem..heheheh
    Cebolak... tu que já trabalhou bastante com PPOE, pq nao faz um artigo pra nós aí?

    :good:
    Ola amigo o que acha de colocar essa materia como FIXO ? 8)
    Ela evita de muitas perguntas corriqueiras.

    Tiago Matias

  13. #13

    Padrão Re: Autenticação via web tipo Vex.

    Dê uma olhada neste artigo:

    http://www.vivaolinux.com.br/artigos...hp?codigo=1338

    Citação Postado originalmente por Anonymous
    Bom tópico.

    Talvez aqui vocês consigam me ajudar.
    Eu pesquisei no Fórum mas ainda não consegui encontrar algo parecido.

    Eu queria implementar na minha rede wireless um esquema de autenticação tipo o do Vex.

    Ao conectar na rede wireless, que no meu caso precisa ser aberta, gostaria que ao abrir o browser para navegar o meu cliente recebesse uma página de aviso (uma espécie de contrato) e somente fosse permitido a ele navegar caso aceite o contrato. Se ele não aceitar o acesso fica bloqueado, se aceitar tá liberado.

    No vex (hotspots espalhados pelo Brasil afora, principalmente em aeroportos) tem algo similar. A rede é aberta e ao tentar navegar o usuário recebe uma página onde é obrigado a se autenticar. Caso não se autentique ele não consegue fazer mais nada.

    Alguém tem uma idéia de como posso fazer isso?

    Valeu.

  14. #14
    Visitante

    Padrão Re: Autenticação via web tipo Vex.

    É exatamente isso que eu quero. Obrigado.

    Citação Postado originalmente por ryiades