73

Document Sample
73 Powered By Docstoc
					UNIVERSIDADE ESTADUAL DE MONTES CLAROS – UNIMONTES
CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS – CCET
DEPARTAMENTO DE CIÊNCIAS DA COMPUTAÇÃO – DCC
CURSO: SISTEMAS DE INFORMAÇÃO – 8º PERÍODO




                         Projeto Final de Graduação
                Segurança em Redes Wi-Fi.




Aluno: Paulo Américo Freire Aguiar.
E-Mail: paulofaguiar@yahoo.com.br.
Orientador: Prof. Msc. Antônio Eugênio.




                                 Junho, 2005.
UNIVERSIDADE ESTADUAL DE MONTES CLAROS – UNIMONTES
CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS – CCET
DEPARTAMENTO DE CIÊNCIAS DA COMPUTAÇÃO – DCC
CURSO: SISTEMAS DE INFORMAÇÃO – 8º PERÍODO




      O Projeto Orientado de Conclusão de Curso (POCC): “SEGURANÇA EM
REDES WI-FI”, elaborado por PAULO AMÉRICO FREIRE AGUIAR, foi julgado
adequado por todos os membros da Banca Examinadora, como requisito parcial
para obtenção do título de BACHAREL EM SISTEMAS DE INFORMAÇÃO e
aprovado, em sua forma final, pelo Departamento de Ciências da Computação da
Universidade Estadual de Montes Claros.




Montes Claros, 20 de junho de 2005.




Aprovado pela Banca Examinadora constituída pelos seguintes professores:




                Orientador: Prof. Msc. Antônio Eugênio Silva




                   Avaliador: Prof. Msc. Nilton Alves Maia




                   Avaliadora: Profª. Patrícia Takaki Neves




                                                                           2
Agradecimentos:


      Agradeço ao Professor Eugênio que se dispôs a me ajudar, mesmo não
sendo o orientador desde o início. Agradeço à minha namorada Isabela pela
ajuda, pelas horas de correções e incentivo nos momentos de desânimo.
Agradeço à minha família pelo apoio e pelo bom ambiente para que este projeto
pudesse ser feito. E por fim agradeço a Deus por me dar determinação,
inteligência e por me cercar de pessoas boas.




                                                                           3
Índice:


Introdução ............................................................................................................... 7
   Cenário .............................................................................................................. 12
1- Segurança em Redes de Computadores .......................................................... 16
   1.1- Política de Segurança................................................................................. 16
   1.2- Criptografia ................................................................................................. 17
      1.2.1- Criptografia Simétrica........................................................................... 18
      1.2.2- Criptografia Assimétrica ....................................................................... 20
   1.3- Assinatura Digital........................................................................................ 22
   1.4- Certificado Digital ....................................................................................... 23
   1.5- Selo Cronológico Digital ............................................................................. 25
2- Redes Wireless e Redes Wi-Fi. ........................................................................ 26
3- Segurança nas redes Wi-Fi............................................................................... 31
   3.1- Questões Gerais sobre Segurança em Redes ........................................... 32
      3.1.1- Identificação e Autenticação de Usuários ............................................ 32
      3.1.1.1- Senhas:............................................................................................. 32
      3.1.1.2- Senha de Única Sessão (One Time Password): ............................... 33
      3.1.1.3- Smartcards:....................................................................................... 34
      3.1.1.4- Biometria:.......................................................................................... 34
      3.1.2- Antivírus ............................................................................................... 34
      3.1.3- Auditoria............................................................................................... 35
      3.1.4- NAT...................................................................................................... 35
      3.1.5- SDI - Sistemas de Detecção de Intrusão ............................................. 36
      3.1.6- Servidor Proxy ..................................................................................... 37
      3.1.7- Firewalls............................................................................................... 38
      3.1.8- VPN...................................................................................................... 42
      3.1.9- Segurança Física ................................................................................. 45
      3.1.9.1- Localização. ...................................................................................... 45



                                                                                                                          4
      3.1.9.2- Instalações........................................................................................ 46
      3.1.9.3- Fenômenos Naturais......................................................................... 49
      3.1.9.4- Vandalismo/Terrorismo ..................................................................... 49
      3.1.10- Outras Questões ................................................................................ 50
   3.2- Questões de segurança inerentes às redes ............................................... 51
      3.2.1- DHCP................................................................................................... 51
      3.2.2- Mapeamento por MAC Address. .......................................................... 51
      3.2.3- Broadcast do SSID (Service Set ID) .................................................... 52
      3.2.5- WEP – Wired Equivalent Privacy ......................................................... 53
      3.2.6- WPA - Wi-Fi Protected Access ............................................................ 56
      3.2.6.1- Autenticação no WPA. ...................................................................... 57
      3.2.6.2- Criptografia de dados........................................................................ 60
      3.2.6.3- Integridade dos dados....................................................................... 61
      3.2.7- WPA2 ou 802.11i ................................................................................. 66
      3.2.8- HotSpots .............................................................................................. 67
4- Conclusão ......................................................................................................... 69
Referência Bibliográfica: ....................................................................................... 72




                                                                                                                       5
Índice de Ilustrações:


Figura 1 – Criptografia sem chave ........................................................................ 18
Figura 2 – Criptografia Simétrica........................................................................... 19
Figura 3 – Criptografia Assimétrica ....................................................................... 22
Figura 4 – Rede com Estrutura Ad-Hoc. ............................................................... 28
Figura 5 – Rede BBS ............................................................................................ 29
Figura 6 – Rede ESS. ........................................................................................... 29
Quadro 1 – Comparação entre padrões Wi-Fi....................................................... 30
Figura 7 – Token de Autenticação......................................................................... 33
Figura 8 - Servidor Proxi ....................................................................................... 37
Quadro 2 – Exemplo de Regras de Firewall.......................................................... 39
Figura 9 – Rede protegida por Firewall ................................................................. 41
Figura 10 – VPN.................................................................................................... 43
Quadro 3 – Relação entre materiais e Atenuação sofrida pelo sinal de rádio....... 46
Figura 11 - Warchalking ........................................................................................ 48
Figura 12 – Autenticação no WEP ........................................................................ 55
Figura 13 – Autenticação 802.1x........................................................................... 58
Figura 14 – Criptografia de dados e controle de Integridade no WPA .................. 62
Figura 15 - Descriptografia e Controle de Integridade no WPA ............................ 64




                                                                                                                    6
Introdução



       A indústria da informática, apesar de ser recente quando comparada a
outros setores, teve e continua tendo um progresso assustador. Os computadores
evoluíram dos imensos e caríssimos mainframes valvulados para os compactos e
poderosos desktops e mais recentemente para os compactos computadores
portáteis como os laptops e palms [TANENBAUM, 97]. Da mesma forma que a
informática, a indústria da comunicação vem evoluindo a largos passos.
       A fusão da informática e das comunicações foi natural. Houve a
necessidade de se compartilhar dados e recursos com outros computadores.
Dessa necessidade surgiram as redes de computadores, através das quais os
usuários dos computadores podem se comunicar através de mensagens, acessar
dados localizados remotamente e compartilhar dados e recursos entre si. Desde
então as redes têm sido adotadas em larga escala.
       Surgiram então as redes coorporativas, através das quais os computadores
de uma empresa passaram a estar conectados de forma a possibilitar a troca e
correlacionamento de informações de toda a empresa, independentemente se as
informações estão disponíveis localmente ou remotamente.
       As redes também aumentaram sua confiabilidade, uma vez que poderia
haver backups de informações e redundância de recursos caso houvesse alguma
falha. Dessa forma o processo corporativo não pararia mais se, por exemplo, o
servidor de nomes da empresa explodisse, outro equipamento tomaria seu lugar e
faria este trabalho.
       Outro ponto importante na popularização das redes de computadores é sua
relação custo/benefício. Através delas o processamento passou a ser dividido,
possibilitando um desempenho de um poderoso mainframe com um preço muito
mais baixo. Ocorrendo o aumento das informações a serem processadas, devido
à propriedade de escalabilidade das redes, o desempenho da rede pode ser




                                                                             7
aumentado através da troca ou inclusão de novos equipamentos para suprir a
demanda por processamento.
       A partir deste ponto foram criadas redes dentro de universidades, prédios
públicos e até mesmo redes abrangendo cidades inteiras ou áreas ainda maiores
como países e continentes.
       Com tantas vantagens, as redes passaram a ser utilizadas por pessoas fora
do ambiente corporativo. Dentre as principais finalidades de uso das redes por
pessoas fora das empresas estão:


   •   acesso a informações e recursos remotos.
   •   comunicação interpessoal.
   •   diversão interativa.


       A maior rede existente atualmente, a Internet, surgiu dessas necessidades.
Ela evoluiu de uma rede militar privada norte americana (Arpanet) para uma rede
multiuso pública. Através dela informações de todos os tipos e assuntos foram
disponibilizadas para o acesso público. Pessoas usam a Internet para se
comunicar, seja através de e-mails (correspondência eletrônica) ou chats por texto
voz e vídeo. Até a década de 90 as redes de computadores eram essencialmente
cabeadas.
       Desenvolveu se então o conceito de redes sem fio e computação móvel
para suprir a necessidade de um grupo de usuários de se conectar, através de
computadores móveis como palms, notebooks e outros dispositivos, à rede
corporativa onde trabalha ou ao seu computador pessoal localizado em sua casa
para acesso a dados remotos.
       A impossibilidade de se fazer conexões cabeadas a partir de locais como
carros, aviões ou lugares inacessíveis a instalações de estruturas de cabeamento
como prédios antigos também contribuiu para o desenvolvimento das redes sem
fio e computação móvel. Dessa forma foi necessário desenvolver um meio de
transmissão de informações que pudesse transpor tais barreiras culminando no




                                                                                8
desenvolvimento das redes sem-fio que podem transmitir dados por infravermelho
ou ondas de rádio, dispensando o uso de cabos.
      Uma observação mostra se pertinente neste momento. Confunde se muito
computação móvel com redes sem fio. Apesar de ter uma estreita relação, as
redes sem fio e a computação móvel não são a mesma coisa. Computação móvel
diz respeito à capacidade do usuário de continuar conectado enquanto se
movimenta. Já as redes sem fio têm como principal idéia a utilização de outro
meio que não seja cabeado como, por exemplo, ondas de rádio, microondas, raios
lazer para transmissão de dados, não significando que os componentes desta
rede possam se mover livremente e continuar tendo acesso aos dados e recursos
remotos [TANENBAUM, 97].
      As redes conhecidas como IEEE 802.11, Wi-Fi (Wireless Fidelity) ou
WLANs, que são um tipo de rede wireless (sem-fio), são redes que utilizam sinais
de rádio para a sua comunicação e são estas o objeto deste estudo.
      Durante as primeiras décadas de sua existência, as redes de computadores
foram usadas principalmente por pesquisadores universitários para enviar
mensagens de correio eletrônico ou por empresas para compartilhar impressoras.
Dessa forma, segurança não era uma preocupação inicial dos projetistas de redes.
Com o crescimento da utilização das redes, pessoas passaram a utilizá-las para
realizar operações bancárias e outras ações mais delicadas, que necessitavam de
segurança. As empresas então passaram a necessitar de privacidade, sigilo e
controle da integridade de suas informações e então a segurança das redes
passou a ser a maior preocupação dos projetistas de redes.
      Os projetistas a partir deste momento deveriam se preocupar com o sigilo
(manter as informações longe dos usuários não autorizados a acessá-las),
autenticação (identificar quem está acessando as informações da rede), não-
repudio (ter informações das ações realizadas sobre a rede para usá-las como
provas das transações) e controle de integridade (a comunicação da rede não
poder ser forjada e as informações não poderiam ser alteradas e/ou destruídas por
um usuário não autorizado). Dessa forma passou a se utilizar nas redes métodos
de criptografia para esconder as informações de usuários não autorizados.



                                                                               9
Usuários passaram a ser autenticados com assinaturas digitais, senhas e outros
métodos, de forma que as transações feitas por cada usuário fossem arquivadas e
as transações não pudessem ser repudiadas devido à utilização de “certificados
digitais”, que passaram a ser a prova da ocorrência de uma transação em uma
certa data e com certos termos. A criação de mensagens falsas foi dificultada
através da criptografia, métodos de autenticação e mecanismos de controle de
integridade. Dessa forma as redes de computadores passaram a ser muito mais
seguras [TANENBAUM, 97].
         Com o surgimento e adoção em larga escala das redes Wi-Fi, que utilizam
transmissão via rádio, novas preocupações de segurança surgiram. Os projetistas
agora teriam que se preocupar com a interferência e interceptação do sinal de
rádio.


         Os administradores das redes Wi-Fi devem estar atentos aos seguintes
aspectos de segurança:

   •     estas redes utilizam sinais de rádio para a comunicação e qualquer pessoa
         com um mínimo de equipamento poderá interceptar os dados transmitidos
         por um cliente wireless (notebooks, PDAs, estações de trabalho, etc), uma
         vez que o sinal de rádio é transmitido em todas as direções;
   •     por serem bastante simples de instalar, muitas pessoas estão utilizando
         redes desse tipo em casa, sem nenhum cuidado adicional, e até mesmo em
         empresas, sem o conhecimento e estudo adequado para implantá-las.
   •     além das preocupações com os clientes da rede, também são necessários
         alguns cuidados na configuração dos APs(Access Point), dispositivos
         através do qual se tem acesso à rede. Os APs são intermediários na
         comunicação entre os hosts da rede Wi-Fi [NIC BR, 03].

         Para resolver estes problemas de segurança, meios eficazes de
autenticação e criptografia da transmissão de dados vão sendo desenvolvidos
como foi o caso do protocolo WEP (Wired Equivalent Privacy) que oferece
funcionalidades de segurança e está sendo substituído atualmente pelo WPA (Wi-


                                                                               10
Fi Protected Access), que é uma solução de segurança intermediária entre o WEP
e o 802.11i (WPA2) e que oferece um maior nível de proteção já que foram
encontradas muitas falhas       no WEP.   Estes protocolos    serão discutidos
posteriormente no capitulo 3.
      As primeiras redes sem fio tinham velocidades de até 2 mbps, muito baixas
em relação às redes cabeadas. As taxas de erro de transmissão também são
maiores neste tipo de rede devido a maior sujeição do sinal transmitido à
interferência. Hoje estes pontos têm evoluído bastante com tratamento de erros e
velocidades que chegam a 54 mbps (802.11g). Com o uso de outras tecnologias,
a velocidade dos padrões a e g pode ser aumentada para 108 Mbps.
      Existem também redes que combinam rede cabeada com rede sem fio
como, por exemplo, uma LAN cabeada dentro de um avião que se comunica
através de um roteador com uma ligação de rádio para um roteador em terra
através do qual um passageiro se conecta a rede de sua empresa.
      O que se pode observar de tudo isso é a existência de um crescente
mercado wireless. As redes sem fio continuarão a evoluir e com essa evolução
tem-se dado muita importância ao quesito “segurança”. Dessa forma, os
problemas de segurança das redes Wi-Fi têm recebido muita atenção, gerando
grandes esforços para superá-los e, por conseguinte, a segurança nestas redes
tende a evoluir muito também.




                                                                             11
Cenário



      Na industria de computadores, o segmento que mais cresce é o de
computação móvel, que consiste na parte da computação que independe de
localização dos dispositivos ou de que os dispositivos envolvidos estejam parados
em relação ao outro para que se estabeleça conexão. Hoje em dia se dá muito
valor à independência de localização na comunicação. Dispositivos móveis como
Laptops, palmtops, PDA’s (Personal Digital Assistent), vêm acompanhando a
telefonia celular como um dos ramos da tecnologia que mais crescem em
quantidade de usuários. Estes dispositivos dão apoio de hardware à computação
móvel. Enquanto que a telefonia celular oferece ao usuário a capacidade de se
comunicar por voz independentemente da localização deste, a computação móvel
se propõe a oferecer esta mesma independência para a transmissão de dados e
estes dispositivos móveis vêm preencher essa necessidade [TANENBAUM, 97].
      O crescimento da adoção da tecnologia nas empresas de médio e grande
porte já é um fato, sustentado na adequação ao trabalho dos chamados usuários
móveis, que passam 20% do tempo ou mais longe da estação de trabalho.
Segundo o The Yankee Group, a motivação das organizações em buscar uma
solução wireless está diretamente ligada à possibilidade de envio e recebimento
dos e-mails corporativos e o uso da Internet pública de qualquer localidade
[BUIATI, 03].
      A grande surpresa, no entanto, é a adoção do uso do wireless em
residências e pequenas empresas. De acordo com pesquisas levantadas nos
distribuidores de produtos de informática, o mercado wireless aumenta em passos
de 30% ao mês. Além do já evidente sucesso dos serviços de dados via redes
celulares, os pontos de acesso público (HotSpots Wi-Fi, Wi-Max - Wi-Fi Banda
Larga ou similares, criando redes locais wireless - WLAN) tem ocupado espaços a
uma velocidade espantosa. O Gartner Group estima que, em 2007, 31 milhões de
pessoas   serão   usuários   freqüentes   desses   pontos,   outros   35   milhões,



                                                                                12
esporádicos, distribuídos por mais 750.000 desses pontos. Na participação usual
do Brasil nos negócios de tecnologia, nossos respectivos números poderão ser
600 mil usuários freqüentes, 600 mil esporádicos e 15.000 pontos. Por outro lado,
os pontos de acesso wireless privados podem alcançar cifras da ordem de oito
milhões no mundo e 160.000 no Brasil. Por parte da Intel, a estimativa é que o
mercado wireless chegue à faixa de 10% do montante total de seus lucros [T-
RODMAN, 04].
      Através dos dispositivos de computação móvel como os laptops, os
usuários têm a necessidade de se conectar a outros hosts para acessar dados
remotamente como, por exemplo, dados localizados no seu pc em sua casa ou o
banco de dados de sua empresa para uma consulta.
      Estas redes wireless vêm ganhando grande popularidade pela mobilidade,
capacidade do usuário se manter conectado mesmo quando em movimento, que
provêem aos seus usuários e pela facilidade de instalação e uso em ambientes
domésticos e empresariais, hotéis, conferências, aeroportos, etc.
      Apesar da existência de barreiras, como a própria segurança, para a
adoção das conexões sem fio, o mercado para quem trabalha com a solução não
apresenta retração, nem déficit. A SND, empresa distribuidora de produtos de
tecnologia, há dois anos investe no wireless para revenda e tem retorno seguro. O
wireless hoje é estabelecido. “O mercado está consolidado, é um produto que não
oferece grandes sustos para os produtores e distribuidores” – diz o Diretor de
Marketing da SND, Cláudio Sender [CARVALHO, 03].
      O Wi-Fi não pára de se renovar e enche o mercado de otimismo com as
novidades que aumentam seu desempenho e sua confiabilidade. Os padrões vão
se sobrepondo. O 802.11b, atualmente o mais utilizado no meio corporativo, já
está começando a dar espaço para o padrão 802.11g, já que este, além de ser
compatível com o primeiro, tem maior poder de transmissão de dados (54 Mbps).
As redes wireless também estão evoluindo no quesito segurança. O padrão WPA
(Wi-Fi Protected Access), substituto para o WEP (Wired Equivalent Privacy),
proporciona para os usuários wireless um sistema de autenticação de cada




                                                                              13
usuário em conjunto com um programa de gerenciamento para o administrador da
rede, o que dificulta qualquer tentativa de invasão.
     Com o apoio de avançados centros de pesquisa e tecnologia como os da
Lucent, da Intel, da IBM, da Cisco, entre outros, o futuro das redes sem fio não
poderia ser mais promissor, já que, a cada dia, novos dispositivos móveis são
lançados no mercado com mais recursos e funcionalidades [BUIATI, 03].
     Ao implementar uma rede Wi-Fi, deve se atentar para a questão de
segurança. Este tipo de rede envolve preocupações adicionais no quesito
segurança em relação às redes cabeadas. Sendo assim existe uma cautela e um
medo muito grande em decidir por implantar uma rede Wi-Fi, principalmente no
meio coorporativo.
      Devido às medidas extras de segurança que devem ser tomadas em uma
rede Wi-Fi, as pessoas acham que este tipo de rede não é seguro e então passou
a existir um estigma relacionando redes sem fio com falta de segurança. É sabido
também que poucas pessoas possuem capacidade técnica suficiente para
desenvolver uma boa política de segurança para uma rede wireless. Cada vez
mais vemos redes wireless “caseiras” e até mesmo coorporativas sendo
implementadas sem a devida atenção à questão segurança.
      Pretende-se então, através deste trabalho, realizar um estudo sobre a
implementação e a manutenção de segurança em redes sem fio para que este
sirva de referência para a administração de redes sem fio. Serão discutidos, sob
uma abordagem teórica, tecnologias e métodos que incrementam a segurança Wi-
Fi e eliminam falhas. Ao final do trabalho será apresentada uma conclusão a
respeito da qualidade da segurança Wi-Fi na atualidade.
      Será realizada uma Pesquisa Bibliográfica e Documental onde serão
utilizados como fonte de estudo e pesquisa livros, artigos, revistas e
principalmente Internet. É importante lembrar que todo o material utilizado neste
projeto prove de fontes confiáveis e de credibilidade, o que garante a veracidade e
qualidade das informações apresentadas neste.
      O trabalho foi estruturado em 4 capítulos. No primeiro capítulo, dá se
embasamento teórico ao tema “segurança” abordado no projeto. É feita então uma



                                                                                14
explicação a respeito dos conceitos de Política de Segurança, Criptografia,
Certificado Digital, Selo Cronológico Digital e Autenticação. Estes conceitos serão
de grande importância ao longo de todo o projeto.
      No segundo capítulo as redes Wi-Fi são mais bem discutidas quanto a sua
arquitetura. É feita uma distinção dos padrões Wi-Fi quanto a suas características.
São citadas também neste capítulo as formas de estruturação das redes Wi-Fi.
      No terceiro capítulo, tem se a discussão a respeito dos métodos, políticas e
tecnologias de segurança aplicáveis às redes Wi-Fi. Inicialmente é feita uma
abordagem das medidas gerais de segurança de redes de computadores que
podem ser empregadas nas redes Wi-Fi. Estas medidas gerais, tais como Firewall,
VPN, segurança física, são abordadas levando-se em consideração as
peculiaridades das redes Wi-Fi. Em seguida são abordadas medidas que são
inerentes às redes Wi-Fi. Estas medidas foram classificadas como inerentes às
redes Wi-Fi devido ao fato de terem sido criadas para este tipo de rede ou pelo
fato de se tornarem pontos críticos nestas redes.
      Abordado o tema de segurança nas redes Wi-Fi, no quarto capítulo, é
apresentada uma conclusão a respeito do tema, avaliando então a qualidade da
segurança nas redes Wi-Fi.




                                                                                15
1- Segurança em Redes de Computadores

      Este capítulo tem por objetivo dar embasamento teórico às informações
apresentadas no restante do projeto. Neste capítulo serão discutidos conceitos
básicos de segurança em redes de computadores tais como criptografia, políticas
de segurança e autenticação.



1.1- Política de Segurança

      Uma política de segurança é um conjunto de leis, regras e práticas que
regulamentam a utilização dos recursos de rede e das informações de uma
organização.
      Uma boa política de segurança deve conter detalhes de como os recursos e
informações de uma organização devem ser disponibilizados e utilizados. Os
recursos e as informações de uma organização devem ser tratados de acordo com
seu grau de sensibilidade.
      A implementação de uma política de segurança se baseia na aplicação das
regras de utilização dos recursos e informações, que limitam o acesso sobre os
mesmos. De modo resumido, o objetivo de uma política de segurança é definir o
que é e o que não é permitido em termos de segurança, durante a operação de
um dado sistema.
      A utilização de políticas de segurança bem definida e eficiente permite o
uso otimizado dos recursos do sistema com um mínimo de risco quanto à
segurança das informações e recursos deste sistema [SOARES, 95].
      A implementação de uma boa política de segurança pode ser conseguida
através da utilização de vários mecanismos como os antivírus, políticas de senhas
e Firewalls. Estes mecanismos serão discutidos adiante.




                                                                              16
1.2- Criptografia

      A criptografia é a arte ou ciência de se escrever em cifra ou em códigos, de
forma a qualquer acesso não autorizado a dados sigilosos.
      A criptografia vem sendo muito utilizada, principalmente para fins militares e
diplomáticos. No campo computacional, a técnica da criptografia surgiu da
necessidade de se enviar informações sensíveis através de meios de
comunicação não confiáveis e é utilizada para garantir a segurança em um
ambiente computacional que necessite de sigilo das informações que por ali
trafegam [MAIA, 05].
      A criptografia é utilizada para codificar os dados antes que estes sejam
transmitidos. Dessa forma, se os dados forem interceptados, dificilmente poderão
ser lidos e entendidos.


      A criptografia computacional é usada para garantir:


   1. sigilo: somente os usuários autorizados têm acesso às informações.
   2. integridade da informação: garantia ao usuário de que a informação está
      correta, que não foi alterada tanto acidentalmente quanto intencionalmente.
   3. autenticação do usuário: é o processo que permite ao sistema verificar a
      identidade do usuário ou dispositivo com quem está se comunicando
      [MAIA, 05].


      Os sistemas criptográficos podem ser de dois tipos: Simétricos e
Assimétricos.




                                                                                 17
1.2.1- Criptografia Simétrica



      O cifragem de uma mensagem baseia-se em dois componentes: um
algoritmo e uma chave. Um algoritmo é uma transformação matemática. Ele
converte uma mensagem em claro em uma mensagem cifrada e vice-versa.
      Quando Alice (origem) cifra uma mensagem, ela utiliza um algoritmo de
ciframento para transformar o conteúdo em claro da mensagem em texto cifrado.
Quando Bob (destinatário) decifra uma mensagem, ele utiliza o algoritmo de
deciframento correspondente para converter o texto cifrado de novo em uma
mensagem clara como mostra a Figura 1 [MAIA, 05].




                     Figura 1 – Criptografia sem chave



      Antigamente, a segurança do ciframento estava baseada somente no sigilo
do algoritmo criptográfico. Se Eve (um intruso) conhecesse o algoritmo sem



                                                                          18
chave, poderia decifrar uma mensagem cifrada tão facilmente quanto Bob. Pode-
se contornar o problema apresentado utilizando o segundo componente básico da
criptografia de mensagens: a chave. Uma chave é uma cadeia aleatória de bits
utilizada em conjunto com um algoritmo. Cada chave distinta faz com que o
algoritmo trabalhe de forma ligeiramente diferente.
      Embora existam algoritmos que dispensem o uso de chaves, sua utilização
oferece duas importantes vantagens. A primeira é permitir a utilização do mesmo
algoritmo criptográfico para a comunicação com diferentes receptores, apenas
trocando a chave. A segunda vantagem é permitir trocar facilmente a chave no
caso de uma violação, mantendo o mesmo algoritmo. O número de chaves
possíveis depende do tamanho (número de bits) da chave. Por exemplo, uma
chave de 8 bits permite uma combinação de no máximo 256 chaves (28). Quanto
maior o tamanho da chave, mais difícil quebrá-la, pois estamos aumentando o
número de combinações. A criptografia com chave simétrica é mostrada na Figura
2.




                        Figura 2 – Criptografia Simétrica




                                                                            19
       Quando Alice cifra uma mensagem, ela utiliza um algoritmo de ciframento e
uma chave secreta para transformar uma mensagem clara em um texto cifrado.
Bob, por sua vez, ao decifrar uma mensagem, utiliza o algoritmo de deciframento
correspondente e a mesma chave para transformar o texto cifrado em uma
mensagem em claro. Eve, por não possuir a chave secreta, mesmo conhecendo o
algoritmo, não conseguirá decifrar a mensagem. A segurança do sistema passa a
residir não mais no algoritmo e sim na chave empregada. É ela que agora, no
lugar do algoritmo, deverá ser mantida em segredo por Alice e Bob. Quando a
chave de ciframento é a mesma utilizada para deciframento ou esta última pode
facilmente ser obtida a partir do conhecimento da primeira, ambas precisam ser
compartilhadas previamente entre origem e destinatário, antes de se estabelecer o
canal criptográfico desejado, utilizando-se um canal seguro e independente do
destinado à comunicação sigilosa. Este tipo de ciframento emprega a criptografia
conhecida como simétrica ou de chave secreta.
       Apesar de sua simplicidade, existem alguns problemas na criptografia
simétrica:
   •   como cada host necessita de uma chave para se comunicar de forma
       segura, para um uma rede de n usuários precisaríamos de de n chaves,
       quantidade esta que dificulta a gerência das chaves;
   •   a chave deve ser trocada entre as partes e armazenada de forma segura, o
       que nem sempre é fácil de ser garantido;
   •   a criptografia simétrica não garante a identidade de quem enviou ou
       recebeu a mensagem (autenticidade e não-repudio) [MAIA, 05].



1.2.2- Criptografia Assimétrica



       A maneira de contornar os problemas da criptografia simétrica é a utilização
da criptografia assimétrica ou de chave pública. A criptografia assimétrica está
baseada no conceito de par de chaves: uma chave privada e uma chave pública.
Qualquer uma das chaves é utilizada para cifrar uma mensagem e a outra para


                                                                                20
decifrá-la. As mensagens cifradas com uma das chaves do par só podem ser
decifradas com a outra chave correspondente. A chave privada deve ser mantida
secreta, enquanto a chave pública disponível livremente para qualquer
interessado.
      De uma forma simplificada, o sistema funciona assim: Bob e todos os que
desejam comunicar-se de modo seguro geram uma chave de ciframento e sua
correspondente chave de deciframento. Ele mantém secreta a chave de
deciframento; esta é chamada de sua chave privada. Ele torna pública a chave de
ciframento: esta é chamada de sua chave pública.
      A chave pública realmente condiz com seu nome. Qualquer pessoa pode
obter uma cópia dela. Bob inclusive encoraja isto, enviando-a para seus amigos ou
publicando-a em boletins. Assim, Eve não tem nenhuma dificuldade em obtê-la.
Quando Alice deseja enviar uma mensagem a Bob, precisa primeiro encontrar a
chave pública dele. Feito isto, ela cifra sua mensagem utilizando a chave pública
de Bob, despachando-a em seguida. Quando Bob recebe a mensagem, ele a
decifra facilmente com sua chave privada. Eve, que interceptou a mensagem em
trânsito, não conhece a chave privada de Bob, embora conheça sua chave
pública. Mas este conhecimento não o ajuda a decifrar a mensagem. Mesmo
Alice, que foi quem cifrou a mensagem com a chave pública de Bob, não pode
decifrá-la agora.
      A grande vantagem deste sistema é permitir que qualquer um possa enviar
uma mensagem secreta, apenas utilizando a chave pública de quem irá recebê-la.
Como a chave pública está amplamente disponível, não há necessidade do envio
de chaves como é feito no modelo simétrico. A confidencialidade da mensagem é
garantida, enquanto a chave privada estiver segura. Caso contrário quem possuir
acesso à chave privada terá acesso às mensagens [MAIA, 05].




                                                                              21
      A criptografia de chave assimétrica é mostrada na Figura 3.




                       Figura 3 – Criptografia Assimétrica




1.3- Assinatura Digital

      Outro benefício da criptografia com chave pública é a assinatura digital, que
permite garantir a autenticidade de quem envia a mensagem, associada à
integridade do seu conteúdo. Por exemplo, suponha que Alice (origem) queira
comunicar o nascimento de sua filha para seu amigo (destinatário = Bob), mas
queira garantir ao mesmo que a mensagem foi enviada realmente por ela. E,
embora não se importe com o sigilo da mensagem, deseja que a mesma chegue
integra ao destinatário, sem alterações como, por exemplo, do sexo da criança.
      Alice então cifra a mensagem com sua chave privada e a envia, em um
processo denominado de assinatura digital. Cada um que receber a mensagem
deverá decifrá-la, ou seja, verificar a validade da assinatura digital, utilizando para


                                                                                    22
isso a chave pública de Alice. Como a chave pública de Alice apenas decifra (ou
seja, verifica a validade de) mensagens cifradas com sua chave privada, fica
garantida assim a autenticidade, integridade e não-repudio da mensagem. Pois se
alguém modificar um bit do conteúdo da mensagem ou se outra pessoa assiná-la
ao invés de Alice, o sistema de verificação não irá reconhecer a assinatura digital
de Alice como sendo válida.
      É importante perceber que a assinatura digital, como descrita no exemplo
anterior, não garante a confidencialidade da mensagem. Qualquer um poderá
acessá-la e verificá-la, mesmo um intruso (Eve), apenas utilizando a chave pública
de Alice. Para obter confidencialidade com assinatura digital, basta combinar os
dois métodos. Alice primeiro assina a mensagem, utilizando sua chave privada.
Em seguida, ela criptografa a mensagem novamente, junto com sua assinatura,
utilizando a chave pública de Bob. Este, ao receber a mensagem, deve,
primeiramente, decifrá-la com sua chave privada, o que garante sua privacidade.
Em seguida, "decifrá-la" novamente, ou seja, verificar sua assinatura utilizando a
chave pública de Alice, garantindo assim sua autenticidade [MAIA, 05].




1.4- Certificado Digital

      Certificado Digital associa a identidade de alguém a um par de chaves
eletrônicas (privada e pública) que, usadas em conjunto, fornecem a comprovação
da identidade desta pessoa. É uma versão eletrônica (digital) de uma Carteira de
Identidade.
      Autoridades de certificação, como Verisign, Cybertrust e Nortel, assinam
certificados digitais   garantindo sua validade. Uma CA também tem a
responsabilidade de manter e divulgar uma lista com os certificados revogados
(Certificate Revocation List - CRL). Certificados nesta lista podem ter sido
roubados, perdidos ou, simplesmente, estar sem utilidade. As CAs podem estar




                                                                                23
encadeadas em hierarquias de certificação, onde a CA de um nível inferior valida
sua assinatura com a assinatura de uma CA mais alta na hierarquia[MAIA, 05].


       Um Certificado Digital contém três elementos:


   1. informação de atributo: informação sobre o objeto que é certificado. No
       caso de uma pessoa, isto pode incluir seu nome, nacionalidade,
       organização, departamento etc.
   2. chave de informação pública: esta é a chave publicada na Autoridade
       Certificadora. O certificado atua para associar a chave pública à informação
       de atributo. A chave pública pode ser qualquer chave assimétrica.
   3. assinatura da Autoridade Certificadora: a CA assina os dois primeiros
       elementos, validando os. Quem recebe o certificado verificará a assinatura
       e acreditará na informação de atributo e chave pública associadas.


       Existem diversos tipos de certificados, conforme descrição feita a seguir.


   •   certificados de CA: utilizados para validar outros certificados; são auto-
       assinados ou assinados por outra CA.
   •   certificados de servidor: utilizados para identificar um servidor seguro;
       contém o nome da organização e o nome DNS do servidor.
   •   certificados pessoais: contém nome do portador e, eventualmente,
       informações como endereço eletrônico, endereço postal, etc.
   •   certificados de desenvolvedores de software: utilizados para validar
       assinaturas associadas a programas.


       A infra-estrutura para lidar com o gerenciamento de chaves públicas é
definida pelo padrão Public Key Infrastructure (PKI), que define onde os
certificados digitais serão armazenados e recuperados, de que forma estão
armazenados, como um certificado é revogado, entre outras informações [MAIA,
05].


                                                                                    24
1.5- Selo Cronológico Digital

      O serviço de Selo Cronológico gera selos cronológicos ou Timestamps que
associam a data e a hora a um documento digital em forma de criptografia forte. O
Selo Digital pode ser usado para provar a existência de um documento eletrônico
em determinada data [MAIA, 05].




                                                                              25
2- Redes Wireless e Redes Wi-Fi.


       Para definir um padrão para as redes locais sem fio (WLANS), o IEEE criou
o “Wireless Local-Area Networks Standard Working Group, IEEE Project 802.11”.
Este grupo tinha como objetivo definir especificações e padrões para as redes que
possuíam como meio de transmissão as ondas de rádio ou infravermelho.
       A arquitetura adotada pelo projeto 802.11 baseia-se na divisão da área
coberta pelo sinal da rede em células que são chamadas de BSA (Basic Service
Area). Um grupo de dispositivos se comunicando, via rádio ou infravermelho,
definem um BSS (Basic Service Set).
       A transmissão dos dados em uma rede 802.11 se dá através da utilização
de portadoras analógicas de rádio ou infravermelho. Os dados são modulados na
portadora de rádio e transmitidos através de ondas eletromagnéticas.
       Múltiplas portadoras de rádio podem coexistir num mesmo meio, sem que
uma interfira na outra. Para extrair os dados, o receptor sintoniza numa freqüência
específica e rejeita as outras portadoras de freqüências diferentes [SOARES, 95].
       Em um ambiente onde exista tanto rede wireless quanto rede cabeada,
como, por exemplo, Ethernet, os APs (Access Points) fazem a intercomunicação
dos dois tipos de rede.
       Os APs não apenas fornecem a comunicação com as redes cabeadas
convencionais, como também intermedeiam o tráfego com os pontos de acesso
vizinhos, num esquema de micro células com roaming semelhante a um sistema
de telefonia celular.


       As funções básicas dos Access Points (APs) são:


   •   autenticação, associação e reassociação: permite que um dispositivo se
       mantenha conectado ao transitar entre BSAs distintas. As estações utilizam
       uma varredura para encontrar o AP com melhor qualidade de sinal e se
       associam a ele.


                                                                                26
   •   gerenciamento de potência: isto é possível em APs que possuem a
       funcionalidade   de   armazenar   temporariamente    em      cache   frames
       endereçados aos hosts que estão poupando energia (com função de
       recepção desabilitada) já que um dos grandes problemas dos dispositivos
       móveis é a duração da carga da bateria. O AP e os hosts operam com
       relógios sincronizados. De tempos em tempos as estações ligam os seus
       receptores para receber o tráfego endereçado a elas armazenado no AP.
   •   sincronização: refere-se à sincronização dos relógios dos dispositivos com
       o relógio do AP. O valor do relógio é enviado periodicamente através de
       Beacons (quadros com informações sobre a rede). Através dos Beacons,
       os dispositivos sincronizam os seus relógios [SOARES, 95].


       As redes Wi-Fi são uma subdivisão das redes wireless. Existem redes
wireless que usam sinais de rádio e outras utilizam infravermelho para
transmissão de dados. As redes Wi-Fi se caracterizam por seu meio de
transmissão ser através de ondas de rádio. Elas operam na freqüência de 2.4Ghz
ou 5Ghz, dependendo do padrão em questão.


As redes Wi-Fi possuem três padrões distintos:


   •   802.11a: especifica o padrão das redes sem fio que atuam na freqüência
       de 5GHz e permite transmissões de até 54 Mbps.
   •   802.11b: especifica o padrão que atua na freqüência de 2.4 GHz a 2.485
       GHz (2.5 GHz no Brasil) e permite transmissões de até 11 Mbps.
   •   802.11g: especifica o padrão que atua na freqüência 2.4 GHz a 2.485 GHz
       (2.5 GHz no Brasil) e permite transmissões de até 54 Mbps [FERREIRA,
       05].


Sendo que uma rede Wi-Fi, dos padrões citados acima, pode ser estruturada de
três modos:




                                                                               27
•   Independent Basic Service Set (IBSS) ou redes Ad-Hoc: são redes nas
    quais os dispositivos sem fio se comunicam diretamente entre si sem a
    necessidade de um AP. Comparada a uma rede Ethernet, a rede Ad-Hoc
    seria como uma rede ponto a ponto. A Figura 4 mostra uma rede Ad-Hoc.




                Figura 4 – Rede com Estrutura Ad-Hoc.




                                                                            28
•   Basic Service Set (BSS): são redes onde um conjunto de dispositivos se
    comunica entre si através de um único AP. Uma BSS é mostrada na Figura
    5.




                          Figura 5 – Rede BBS

•   Extended Service Set (ESS): são duas ou mais redes Wi-Fi interconectadas
    entre si. Uma ESS é mostrada na Figura 6.




                          Figura 6 – Rede ESS.


                                                                         29
      Este projeto se aplica aos três padrões. O padrão 802.11a, por possuir
maior freqüência, sofre menos interferência de outros objetos e aparelhos, porem
seu alcance é menor. As redes b e g, por atuarem na mesma faixa de freqüência,
são compatíveis entre si. Abaixo podemos observar um quadro comparativo entre
os três padrões Wi-Fi lembrando que a distância alcançada por estas redes é
altamente variável com o ambiente.



                 Quadro 1 – Comparação entre padrões Wi-Fi.

                                     802.11b       802.11a       802.11g


            Velocidade               11Mbps        54Mbps        54Mbps

            Freqüência               2.4GHz        5GHz          2.4GHz

            Distância          100 metros      50 metros     100 metros

            Compatibilidade          802.11g       -             802.11b




      A seguir se iniciará a discussão a respeito da segurança nas redes Wi-Fi.
As medidas e tecnologias discutidas devem ser aplicadas de acordo com a
necessidade de segurança da rede, desde que sejam possíveis de serem
implementadas.




                                                                             30
3- Segurança nas redes Wi-Fi


       A diferença entre as redes Wi-Fi e Ethernet se dá na camada física e na
porção inferior da camada de enlace do modelo de referência OSI da ISO devido à
diferença no meio de transmissão utilizado e das técnicas de autenticação,
garantia de integridade e privacidade utilizadas nos dois tipos de rede [DUARTE,
03]. Dessa forma, qualquer medida de segurança que atue na camada de rede ou
em uma camada superior do modelo TCP/IP deverá ser aplicada a uma rede Wi-Fi
sem nenhuma ou com mínimas alterações em relação a uma rede Ethernet.
       A preocupação maior em relação à segurança Wi-Fi se dá em questão da
diferença entre os meios de transmissão das redes Wi-Fi e Ethernet. Nas redes
Wi-Fi, como o sinal é transmitido através de ondas de rádio, é mais difícil manter
controle sobre o sinal já que este se propaga em todas as direções.


       A definição de segurança em redes de computadores estabelece duas
suposições iniciais:


   •   a rede contém dados e recursos valiosos que são críticos para as
       organizações e/ou usuários;
   •   os dados e recursos da rede são valiosos e por isso devem ser protegidos
       [TANENBAUM, 97].


       O objetivo de se implementar segurança em uma rede de computadores é
manter a confidencialidade, integridade e disponibilidade dos dados e recursos.
Com as redes Wi-Fi não é diferente, embora estas redes usem transmissão via
rádio para transmitir dados.




                                                                               31
3.1- Questões Gerais sobre Segurança em Redes

       Nesta seção serão discutidas medidas de segurança das redes cabeadas
que podem e devem se aplicadas às redes Wi-Fi quando possível. Serão
discutidas medidas de segurança como uso de antivírus, auditoria e atualização
de software.



3.1.1- Identificação e Autenticação de Usuários

       Para disponibilizar os dados e recursos de uma rede apenas às pessoas
autorizadas, devemos ter:


   •   identificação: meio de estabelecer a identidade do usuário.
   •   autenticação: meio de verificar a veracidade da identidade do usuário.


       A identificação diz respeito ao nome do usuário na rede, ao passo que a
autenticação pode ser feita através de senhas, smartcards e outros métodos.
       A autenticação de usuário pode ser feita de várias formas, sendo que certos
métodos são mais eficientes que outros.
       Alguns dos métodos de autenticação de usuários mais usados são as
senhas, senhas de sessão única, SmartCards, Biometria.



3.1.1.1- Senhas.


       Neste método, o usuário se identifica com um nome de usuário e se
autentica através de uma senha.
       Deve-se ter cuidado ao utilizar senhas. Os usuários devem ser alertados
dos perigos do uso de senhas fáceis, óbvias e etc. Senhas que se referem a
características do usuário, como, por exemplo, data de nascimento, são facilmente
descobertas.


                                                                                32
      Deve se estabelecer uma política de trocas periódicas das senhas dos
usuários. Senhas curtas são fracas. Deve se dar preferência a senhas de, no
mínimo, oito caracteres.
      Deve se atentar para cadastros de usuários vencidos como funcionários de
férias, funcionários demitidos ou aposentados e etc. Estes usuários devem ser
removidos da lista de usuários da rede. Ex-funcionários têm grande participação
em ataques às empresas.
      Mesmo seguindo estas medidas na criação de senhas, este não é o método
mais recomendado para proteger pontos críticos de acessos não autorizados.
Existem métodos mais fortes que serão descritos a seguir.



3.1.1.2- Senha de Única Sessão (One Time Password).


      Como o próprio nome já indica, senhas de sessão única são utilizadas
apenas uma vez. Após o fechamento da sessão, a senha se torna inválida para
uso, impossibilitando seu roubo e uso posterior por um atacante.
      A maneira mais comum de se implementar este método é através de algum
dispositivo físico conhecido como ficha ou token.




                       Figura 7 – Token de Autenticação.




                                                                            33
3.1.1.3- Smartcards.


      O Smartcard é um dispositivo portátil (cartão) que possui uma CPU, uma
porta I/O e memória não volátil que só pode ser acessada pela cpu do cartão.
Geralmente são utilizadas senhas em conjunto com os Smartcards. Este método
prove um nível alto e segurança. É utilizado em caixas automáticos dos bancos.



3.1.1.4- Biometria.


      Este método utiliza como autenticação uma característica física do usuário,
como impressão digital, leitura de retina ou reconhecimento de voz.
      É um método mais caro e mais complexo de se implementar, possibilitando
maior nível de segurança.
      Estes métodos citados podem ser utilizados para diversos fins. Eles podem
proteger dados, dispositivos, recintos etc. A implementação de alguns destes
métodos para proteger os dados das rede Wi-Fi não era possível de início (WEP),
mas se tornou disponível com o WPA. O WPA utiliza o protocolo EAP para dar
suporte a diversos tipos de autenticação. O WEP, WPA e EAP serão melhor
descritos no Capítulo 3.



3.1.2- Antivírus

      Os vírus são, sem dúvida nenhuma, um dos maiores problemas dos
administradores de rede. Eles podem destruir dados, prejudicar o funcionamento
de sistemas e aplicativos entre outras coisas.
      Para se ver livre dos vírus e cavalos de tróia faz se necessário a utilização
de um bom antivírus como o Norton, Mcfee ou AVG.
      É necessário também que os antivírus tenha suas definições de vírus
atualizadas periodicamente (no mínimo uma vez por semana).
      A conscientização do usuário também é importante no combate aos vírus e
Cavalos de Tróia. É necessário informar ao usuário do perigo de se abrir arquivos


                                                                                 34
de procedência duvidosa ou desconhecida em e-mails, disquetes, cds ou arquivos
baixados da Internet. Uma política de uso dos recursos da rede deve ser feita
neste sentido para controlar a entrada de arquivos desconhecidos na rede.



3.1.3- Auditoria

          A auditoria é uma importante ferramenta de segurança quando utilizada
corretamente. A auditoria pode ser empregada em diversos níveis. Podem ser
criados logs de acesso dos arquivos da rede, logs de acesso aos dispositivos, logs
de requisições de serviço etc.
          Os logs são recursos poderosos para descobrir as causas de um problema,
comportamentos suspeitos, uso de recursos por parte dos usuários entre outras
coisas. Para que as informações dos logs sejam consistentes, é necessário que os
relógios dos dispositivos da rede estejam sincronizados. Dessa forma tem-se o
momento exato do acontecimento de um evento.
          Os logs podem ser armazenados localmente em um host reservado para
este fim ou pode ser armazenado em mídias de armazenamento como fitas e CD-
Rs.
          Dependendo da importância das informações de um log, este deve ficar
armazenado por anos antes que possa ser apagado.
          Administradores de rede devem reservar tempo para leitura do logs dos
sistemas e dispositivos da rede a procura de falhas. Isto pode fornecer estatísticas
poderosas a respeito do uso dos recursos da rede e pode prevenir ataques e
falhas.



3.1.4- NAT

          NAT consiste em utilizar faixas de endereços IP reservados para endereçar
os dispositivos da rede interna. Dessa forma, os endereços da rede interna são
desconhecidos pela rede externa.



                                                                                 35
       Ao se utilizar NAT, alguns endereços válidos são disponibilizados para
serem utilizados pelos hosts internos que devem ser identificados publicamente e
para que hosts internos possam acessar a Internet.
       Quando um pacote é roteado da rede interna para a rede externa, o NAT
substitui   o   endereço   NAT   reservado   por   um    endereço    global   válido
temporariamente. Quando a sessão de aplicação terminar, o endereço global é
disponibilizado novamente para que outros hosts possam acessar a rede pública.


       As vantagens do NAT são:


   •   aumento da segurança, uma vez que os endereços dos hosts da rede
       interna não são conhecidos publicamente.
   •   permite o endereçamento de um grande numero de hosts utilizando poucos
       endereços globais já que estes endereços só serão utilizados por hosts que
       devam ser conhecidos publicamente (como servidores WEB) e por hosts
       que queiram acessar a rede pública [CYCLADES BRASIL, 99].



3.1.5- SDI - Sistemas de Detecção de Intrusão

       Como o próprio nome diz, os sistemas de Detecção de Intrusão têm o
objetivo de monitorar o sistema e detectar quando o sistema pode estar sendo
invadido. Este é um método conhecido e eficiente de proteger o sistema e guardá-
lo contra possíveis invasões.


  Um Sistema de Detecção de Intrusão realiza as seguintes tarefas:


   •   detectar ataques na rede em tempo real.
   •   gerar relatórios.
   •   responder a ataques automaticamente.
   •   monitorar atividades de forma transparente ao cliente.



                                                                                 36
      Alguns SDIs que são utilizados para identificar intrusão da camada de
enlace de dados precisam ser modificados para poderem atuar em uma rede Wi-Fi
devido à mudança no meio de transmissão. Já existem Sistemas de Detecção de
Intrusão próprios para as redes Wi-Fi. Estes SDI são mais eficientes neste tipo de
rede [CYCADES BRASIL, 99].



3.1.6- Servidor Proxy

      O Servidor Proxy tem o objetivo de fazer a comunicação entre a rede
interna e servidores remotos (FTP, HTTP, E-mail, etc). Ele pode ser implementado
em conjunto com um Firewall ou em um dispositivo próprio. Recebe também o
nome de Firewall de aplicação.



                                                          Servidor Remoto

    Host                      Proxy
    Interno

                                                          Servidor remoto



                            Figura 8 - Servidor Proxi


        Normalmente o mesmo Proxy é usado por todos os clientes da rede
interna. Desta forma ele pode fazer log de tudo que é requisitado, constituindo se
em mais uma ferramenta de segurança.

        O Proxy também reduz o tráfego entre a rede interna e a pública uma vez
que arquivos requisitados se mantêm em na cache do Proxy para futuras
requisições.




                                                                               37
3.1.7- Firewalls


      Os Firewalls são componentes essenciais para garantir a segurança de
uma rede e computadores. Através de um Firewall, pode-se controlar todo o
tráfego de dados que entra e sai da rede, de forma seletiva, de acordo com um
conjunto de regras previamente estabelecidas em sua configuração. O Firewall
protege dados, programas e dispositivos numa rede privada de acessos não
autorizados. Ele intercepta o tráfego que entra e sai da rede privada, analisa – os,
comparando os mesmos com as regras de acesso definidas, barrando, permitindo
ou redirecionando o tráfego.
      Um Firewall pode ser implementado em um pc, um roteador ou em
hardware específico para este fim.
      O uso de Firewalls dificulta o acesso indevido de recursos da rede, não
importando se o ataque é interno (parte de um host da rede privada) ou externo
(parte de um host da rede pública) à rede privada.
      As regras de acesso implementadas em um Firewall são definidas de
acordo com protocolos, endereços IP dos hosts e portas dos serviços. Pode – se
utilizar as portas e endereços como sendo de origem e destino, permitindo o
controle de tráfego nos dois sentidos.
      Como o Firewall será o intermediário entre a comunicação da rede interna
consigo mesma e da rede interna com a rede externa, esse dispositivo pode ser
alvo de ataques com o objetivo de alterar sua configuração de modo a permitir que
outros ataques possam ser executados. Para dificultar este tipo de ataque ao
Firewall, recomenda – se a utilização de métodos de autenticação avançados no
Firewall. Dessa forma o acesso não autorizado ao Firewall e suas configurações
seria dificultado [COUTINHO, 00].
      Através dos Firewalls, é feita a filtragem de pacotes IP. Quando um pacote
IP passa pela interface do firewall, este analisa os campos endereço IP de origem
do pacote, endereço IP de destino do pacote, porta de serviço TCP/IP de origem e
destino do pacote. Através desta análise o Firewall permite, bloqueia ou



                                                                                 38
redireciona o tráfego. A filtragem de pacotes IP pode ser utilizada para bloquear
conexões entre hosts ou redes específicas e conexões para portas específicas. O
Quadro 2 fornece um exemplo de como as regras de filtragem de tráfego são
implementadas em um Firewall.



                    Quadro 2 – Exemplo de Regras de Firewall.

Regra        Tipo      Endereço     Endereço Porta de Porta de Ação
                       de Origem    de          origem     Destino
                                    Destino
1            TCP       *            123.4.5.6   >1023      23(telnet)   Permitir
2            TCP       *            123.4.5.7   >1023      25(SMTP) Permitir
3            TCP       *            123.4.5.8   >1023      25(SMTP) Permitir
4            TCP       129.6.48.254 123.4.5.9   >1023      119          Permitir
5            UDP       *            123.4.*.*   >1023      123          Permitir
6            *         *            *           *          *            Negar




        Ao implementar um Firewall, dê preferência de negar todos os serviços a
menos que sejam expressamente permitidos. Este é o caso do exemplo acima.
Esta política proporciona maior segurança uma vez que permite o trafego à
medida que este é necessário.
        Já a política de permitir todo tráfego a menos que seja expressamente
negado é menos segura uma vez que acessos não previstos e negados
previamente podem ocorrer.
        Com um Firewall, a segurança dos hosts e serviços de uma rede ficam
concentrados em um ponto central. Dessa forma não é necessário configurar
todos os hosts e serviços oferecidos para implementar o nível de segurança
requerido.
        O Firewall permite também o bloqueio do acesso externo às informações do
servidor DNS da rede privada. Desse modo, os nomes e endereços IPs dos Hosts


                                                                                39
da rede interna não estariam disponíveis para usuários externos. Outra vantagem
do uso de Firewalls é ter acesso a informações da utilização da rede. Como todo o
tráfego da rede passa através do Firewall, estes acessos podem ser registrados e
o log dos acessos pode ser utilizado pelo administrador para análises da utilização
dos recursos da rede pelos usuários. Pode ser verificado então se os usuários
estão utilizando a rede de forma correta. O Firewall pode também ser configurado
para soar alarmes ou realizar outra tarefa quando for detectado tráfego suspeito
na rede [COUTINHO, 00].
      Um dispositivo de Firewall possui três tipos de interfaces: interface interna,
interface externa e DMZ (Zona Desmilitarizada). È através destas interfaces que o
Firewall controla o tráfego da rede.
      A rede privada é ligada à interface interna do Firewall. Esta interface
protege a rede de acessos provenientes das outras interfaces. A rede pública é
ligada à interface externa do Firewall. Através desta interface o Firewall controla
os acessos externos à rede interna e a DMZ. Já na interface da DMZ, devem ser
conectados dispositivos que serão acessados pela rede externa. Como a DMZ e a
rede interna são separadas em interfaces diferentes, o acesso externo à rede fica
restrito à DMZ. Sendo assim o acesso à DMZ é permitido sem que o usuário da
rede pública tenha acesso à rede interna. Na DMZ podem ser conectados
servidores WEB, DNS, E-mail entre outros.
      Em se tratando das redes Wi-Fi, recomenda-se que estas redes fiquem na
DMZ do Firewall [MARTINS, 03]. Desta forma, qualquer ataque que permita
acesso não autorizado à rede Wi-Fi não se propagará para a rede interna
corporativa, pois será barrado no Firewall. Caso algum tipo de acesso da rede Wi-
Fi na rede interna deva ser permitido, pode se implementar autenticação para este
acesso no Firewall, provendo maior nível de segurança. É recomendado também
a instalação de softwares Firewall nos clientes para barrar a comunicação direta
entre eles (modo Ad-Hoc). Sem esta barreira, um intruso pode se conectar à rede
e, dessa forma, acessar os arquivos e recursos de um cliente facilmente
[MARTINS, 03]. O modo Ad-Hoc deve ser evitado, pois nele a segurança fica
descentralizada, devendo ser implementada em cada host, já que não se utiliza



                                                                                 40
APs para intermediar as comunicações. Um esquema de Firewall é mostrado na
Figura 9.




                  Figura 9 – Rede protegida por Firewall




                                                                       41
3.1.8- VPN

         No cenário atual, comunicações a longa distância estão sendo cada vez
mais necessárias entre empresas, parceiros, filiais etc. Agora, com as redes sem
fio, essa comunicação a distância ocorre também entre usuários móveis e suas
redes.
         A rede pública (Internet) está sendo então utilizada para este fim, sendo
uma alternativa de baixo custo para as empresas conectarem suas redes
privadas. Porém sabemos que segurança não é uma característica da Internet.
Sendo assim, as informações coorporativas ficam desprotegidas. Para resolver
este problema foi criado o conceito de VPN – Virtual Private Network.
         Este conceito consiste em utilizar a rede pública para transmitir dados
corporativos de forma segura.
         Uma VPN é significativamente mais barata e mais flexível que uma rede
privada. Para se conectar, cada rede privada ou host só precisa estar conectada a
um provedor de Internet e a adição de novas conexões é simples e barata.
         As VPNs protegem os dados através de criptografia forte para que os dados
não possam ser decifrados se capturados. Os dados trafegam pela Internet
através de “túneis virtuais” (circuitos virtuais). Em cada rede privada deve haver
um gateway VPN para criptografar e descriptografar os dados transmitidos através
da rede pública. Os Hosts móveis que utilizarão a VPN devem ter softwares VPN
instalados. Um esquema de VPN pode ser visto na figura 10 [CHIN, 98].




                                                                               42
                                Figura 10 – VPN



       Os dispositivos VPN devem garantir os seguintes itens a fim de propiciar
segurança na comunicação:


   •   Privacidade dos dados: garantia de que os dados, se interceptados, não
       possam ser decifrados.
   •   Integridade dos dados: os dados não devem ser modificados durante a
       transmissão.
   •   Autenticação de dispositivos remotos: os dispositivos remotos devem ser
       autenticados para acessar a rede privada através da VPN [CHIN, 98].


       A maioria das VPNs atuais utiliza o protocolo IPSec (IP Security), que é
independente do método de criptografia (WEP, WPA, WPA2), pois atua na
camada de rede, possibilitando o uso de ambos sem causar conflito.




                                                                             43
      Com o IPSec, cada pacote de dados é encapsulado em um novo pacote
que contém as informações necessárias para configurar, manter e finalizar o túnel
quando ele não for mais necessário.
      A criptografia é usada para garantir o sigilo, a integridade e a autenticidade
das duas extremidades da rede privada. O Internet Key Exchange (IKE), um
protocolo de camada de aplicação, autentica cada ponto em uma transação IPsec.
O IKE negocia a política de segurança, determinando qual algoritmo pode ser
usado para configurar o túnel. Também lida com a troca de chaves de sessão para
esta transação. Redes que usam IPsec para dar segurança ao tráfego de dados
podem autenticar dispositivos automaticamente usando certificados digitais, que
verificam as identidades dos dois usuários envolvidos na troca de informação.


      Porém, a utilização de VPN tem algumas desvantagens:


      •   não garantem Throughput devido ao fato de se utilizar a Internet.
      •   grande capacidade de processamento dos dispositivos que compõem a
          VPN. A criptografia exige muito processamento [CYCLADES BRASIL,
          99].


      As VPNs são a melhor opção para se conectar à rede privada através das
redes sem fio públicas (HotSpots), pois estas redes não possuem segurança,
tornando inviável o uso das mesmas para acessar remotamente dados e recursos
da rede privada corporativa [REVISTA INFO EXAME, 05]. Os HotSpots serão
melhor explicados posteriormente, no Capítulo 3.




                                                                                 44
3.1.9- Segurança Física


      Numa rede, além de seus dados, seus equipamentos, acessos à rede e
perímetro também devem ser protegidos.
      Não adianta, por exemplo, impedir certo usuário de acessar informações
confidenciais da empresa através da rede quando nenhuma medida é tomada
para impedir que este usuário não tenha acesso à sala onde se encontra o banco
de dados e conseqüentemente possa roubar informações. A situação piora
quando alguém de fora da empresa é o atacante.
      Este é apenas um dos pontos com que o profissional de segurança deve
atentar em relação à questão da segurança física. Quando se implementa uma
rede Wi-Fi é necessário cuidado extra neste quesito.
      A segurança física dos dispositivos da rede abrange diversos pontos a
serem considerados: localização, instalações, fenômenos naturais, terrorismo e
vandalismo.



3.1.9.1- Localização.


      Deve-se ter cuidado com a localização de instalação dos dispositivos da
rede. Dispositivos wireless como os APs devem ser localizados o mais alto
possível dentro de um ambiente para reduzir a interferência e perda de sinal
devido a barreiras mortais para o sinal de rádio como plantas, arvores, paredes de
concreto e reservatórios de água. Alguns dispositivos Wireless já vêm com
antenas ligadas a cabos longos para permitir melhor posicionamento das mesmas.
      Da mesma forma deve-se atentar para a localização de dispositivos críticos
para a rede no que diz respeito ao controle de acesso físico a estes dispositivos.
Dependendo do uso da rede, dispositivos podem ter que ser trancados a 7 chaves
em salas isoladas que são protegidas por seguranças, câmeras etc. Nestes casos
pode se utilizar meios como a biometria para permitir somente acesso autorizado
ao dispositivo. Este nível de proteção pode ser utilizado, por exemplo, em uma


                                                                               45
sala do Pentágono onde informações confidenciais da inteligência norte-
americana são guardadas. A localização dos dispositivos (placas wireless e APs)
deve ser verificada também em relação ao ambiente em que estão. Vários objetos
e tipos de materiais podem barrar o sinal de rádio. A tabela abaixo fornece uma
lista de possíveis barreiras à propagação do sinal de rádio.




 Quadro 3 – Relação entre materiais e Atenuação sofrida pelo sinal de rádio

           Material               Atenuação                     Exemplos
Ar                          Mínima                       -
Madeira                     Baixa                        Divisórias
Gesso                       Baixa                        Paredes Internas
Material Sintético          Baixa                        Divisórias
Asbestos                    Baixa                        Tetos
Vidros                      Baixa                        Janelas
Água                        Média                        Madeiras úmidas,
                                                         Aquários
Tijolos                     Média                        Paredes Internas e
                                                         Externas
Mármores                    Média                        Paredes Internas
Rolo de Papel               Alta                         Rolos de Papel
Concreto                    Alta                         Pisos, Paredes Externas
Vidro à prova de balas      Alta                         Salas de Segurança
Metal                       Muito Alta                   Mesas, Divisórias de
                                                         metal




3.1.9.2- Instalações



          Deve-se atentar a questões como aterramento, variações ou falta de
energia. Para controlar as variações de energia e proteger os dispositivos ligados
à rede elétrica devem ser usados estabilizadores. Contra a falta de energia elétrica
pode se usar No-Breaks, garantindo um tempo extra de funcionamento para que
as transações sejam salvas. Podem ser utilizados também geradores de energia
para manter funcionando dispositivos que não podem ser desligados.


                                                                                 46
         Ao definir as instalações, devemos nos preocupar com as condições
ambientais do local onde a rede estará sendo instalada. Dispositivos críticos como
servidores de banco de dados devem ficar em salas climatizadas com temperatura
controlada para não haver superaquecimento e, conseqüentemente, mau
funcionamento. A umidade também deve ser controlada para não causar corrosão
dos equipamentos. O nível de poeira deve ser controlado para manter a
integridade de dados armazenados em mídias magnéticas e para não causar curto
circuito nos equipamentos.
         Além destas preocupações com as instalações, existem outras próprias das
redes WLAN. O local das instalações da rede deve ser verificado quanto à
geografia. Se o local for entre montanhas, as montanhas serão barreiras para a
propagação do sinal. Neste caso deve-se tentar instalar antenas para transpor as
montanhas.
         Outro item a ser verificado é a potência do sinal emitido pelos APs. Deve
ser verificada a abrangência deste sinal, uma vez que este é propagado em todas
as direções. Deve-se observar se o sinal alcança toda a área pretendida e se este
sinal não ultrapassa esta área. O sinal emitido deve ser controlado nos APs para
que este sinal não possa ser captado fora da área de abrangência da rede Wi-Fi.
Isto pode ser feito no próprio software de configuração do AP em dipositivos mais
novos.
         Os   softwares   de   configuração   dos   Access   Points   possibilitam   a
configuração do sinal de forma fácil. Apesar de ser uma medida simples de ser
tomada, muitos administradores de redes não se preocupam com isto, abrindo
espaço para os ataques conhecidos como Warchalking e Wardriving. O ataque de
Wardriving consiste em, com o auxilio de um computador móvel ou PDA, uma
antena Wi-Fi e software monitorador de sinais Wi-Fi, procurar por sinais wireless
com um carro. As redes captadas podem ser utilizadas para navegação na
Internet de graça ou podem ter informações roubadas e/ou destruídas
informações. O ataque Warchalking consiste em sinalizar os locais onde sinais de
redes Wi-Fi podem ser captados com símbolos escritos nas calçadas ou pichados
nos muros. Estes símbolos contêm informações a respeito das redes captadas,



                                                                                     47
como o SSID (nome que identifica a rede), para que qualquer pessoa possa
utilizá-la.




                             Figura 11 - Warchalking



        Pode ocorrer também o fato de uma rede Wi-Fi causar interferência em
outra rede Wi-Fi que esteja próxima, por exemplo, em um prédio vizinho. Ao ser
identificado este problema, o mesmo pode ser resolvido com a mudança do canal
de transmissão de dados da rede. O numero de canais disponíveis geralmente é
11 no padrão b e g e 13 no padrão a, podendo ocorrer variações de fabricante
para fabricante. Cada canal utiliza uma faixa de freqüência diferente. A Cisco
divide a faixa de freqüência em 11 canais distintos. Transmitindo em canais de
freqüência diferentes, não haverá interferência entre as redes.
        Outro problema a ser verificado é a existência de telefones sem fio, fornos
de microondas e aparelhos de babá eletrônica, pois alguns destes aparelhos
atuam nas mesmas freqüências das redes b e g, podendo causar interferências,
reduzindo e até “destruindo” o sinal. Devido a esta característica, estes aparelhos




                                                                                48
podem ser usados para ataques de DoS (Denial of Service) que deixam a rede
fora do ar.




3.1.9.3- Fenômenos Naturais




       A propensão de ocorrência de fenômenos naturais da área deve ser
verificada. As instalações devem ser adequadas aos tipos de fenômenos que
ocorrem no local como terremotos e enchentes. Além disso, outras medidas
podem ser tomadas como, por exemplo, realização de backups remotos e
elaboração de planos de contingência caso algum fenômeno ocorra.



3.1.9.4- Vandalismo/Terrorismo




       As informações devem ser protegidas de atos de vandalismo e terrorismo.
Esta proteção pode ser conseguida através de backups, vigilância, controle de
acesso e planos de contingência.
       Além destes pontos citados, as redes Wi-Fi devem ser monitoradas de
modo a impedir que pessoas não autorizadas conectem dispositivos na rede para
roubar informações. Como numa rede Wi-Fi não é preciso de cabos para conectar
dispositivos na rede, alguém pode conectar um AP na rede, se passando por outro
dispositivo e desta forma capturando todo o tráfego. Softwares de monitoramento
de sinal como o AirMagnet permitem o reconhecimento de dispositivos estranhos
conectados à rede, podendo inclusive soar alarmes quando for detectada uma
irregularidade, e devem ser utilizados como ferramenta de segurança.
       Notamos então que as redes Wi-Fi implicam maiores preocupações para
garantir a segurança física da rede.




                                                                            49
3.1.10- Outras Questões



      Além destas medidas de segurança citadas, outras medidas devem ser
implementadas em qualquer rede para aumentar a segurança.
      É necessária a atualização dos softwares e sistemas que rodam nos
dispositivos da rede. Estas atualizações eliminam Bugs que possam prejudicar o
funcionamento destes softwares e sistemas, além de poderem ser usados por
pessoas mal intencionadas para atacar o sistema. Não adianta, por exemplo, ter
um sistema de segurança forte numa rede quando o sistema operacional das
estações está desatualizado. Estas atualizações devem ser feitas também nos
firmwares dos dispositivos.
      Além disso, deve-se ter cuidado com a instalação de novos dispositivos e
softwares, pois estes geralmente vêm com configurações default que priorizam a
funcionalidade em detrimento da segurança. Serviços não desejados podem estar
sendo instalados, constituindo mais um provável ponto de ataque. Configurações
default dos dispositivos geralmente possuem senhas fracas, como nome do
fabricante, que podem ser usadas por atacantes para ganhar acesso à rede e até
mesmo mudar as configurações destes dispositivos. Deve se então mudar as
senhas que vem de fábrica nos dispositivos por senhas mais eficientes.
      Por fim deve se atentar para o treinamento dos usuários da rede, dos
sistemas e softwares. Este talvez seja o ponto mais crítico da segurança em um
sistema. Usuários, sem treinamento das políticas de segurança implementadas,
acabam por abrir brechas que não foram previstas ou mesmo que foram previstas
e fechadas.
      Na próxima sessão será feito um estudo das medidas, métodos e
tecnologias de segurança, bem como suas falhas e respectivas soluções,
inerentes às redes Wi-Fi.




                                                                           50
3.2- Questões de segurança inerentes às redes


      Nesta seção serão discutidas medidas de segurança que devem ser
aplicadas especialmente nas redes Wi-Fi. Serão discutidas as medidas que devem
ser tomadas nas redes Wi-Fi para suprir alguma necessidade especial de
segurança típica deste tipo de rede. Alem disso serão discutidas as tecnologias de
segurança existentes no âmbito das redes Wi-Fi.



3.2.1- DHCP


      O uso de servidores DHCP (Dinamic Hosts ) em WLANS deve ser evitado
quando possível devido à facilidade de conexão de um dispositivo móvel a um AP.
Após um usuário se conectar a um AP, ele precisa de um IP válido para se
comunicar. É função do DHCP fornecer endereços IP dinamicamente para novos
hosts que se conectarem. O problema é que quando um intruso tentar se conectar
à rede, ele receberá um IP e poderá utilizá-la livremente.
      Desabilitando este serviço, o intruso terá mais trabalho para conseguir um
endereço válido. Ele poderá conseguir um através de ataques de BruteForce
(tentar todas as possibilidades) baseado em faixas de endereços reservados
(NAT) ou através da captura e decifragem de pacotes da rede em busca de um IP
válido. Dessa forma, endereços estáticos devem ser usados sempre que possível
[MARTINS, 03].



3.2.2- Mapeamento por MAC Address.



      Como o WEP não oferece mecanismos eficientes para autenticação de
dispositivos, uma alternativa para aumentar a segurança é a filtragem de
endereços MAC nos APs. Muitos fabricantes fornecem em seus equipamentos a



                                                                               51
capacidade de criar listas de acesso (ACLs – Access Control List) através dos
endereços MAC das placas wireless dos dispositivos móveis.
      Uma lista de endereços MAC é inserida numa base de dados no AP,
fazendo com que só os dispositivos com aqueles endereços possam se conectar
ao AP. O problema é que as placas Wi-Fi de alguns fabricantes possuem a
capacidade de configuração de seus endereços MAC para facilitar a inclusão do
dispositivo à uma rede Wi-Fi. Dessa forma, se uma transmissão for interceptada e
por um intruso, este pode descobrir um endereço MAC válido, já que este
endereço trafega sem criptografia, e mudar o endereço de sua placa pelo
endereço válido. Se valendo disto, o intruso pode ganhar acesso à rede ao mudar
o endereço MAC de sua placa wireless por um endereço pertencente à ACL do AP
[MARTINS, 03].



3.2.3- Broadcast do SSID (Service Set ID)


      O SSID (Service Set ID) é um nome que identifica a rede sem fio e deve ser
configurado nos APs e dispositivos pertencentes à rede. É através deste nome
que os dispositivos sem fio identificam a rede.
      Todos os APs propagam o SSID da rede em broadcast através de pacotes
chamados Beacons que funcionam como convites para que os clientes possam se
conectar à rede sem fio. O SSID é transmitido sem criptografia, facilitando seu uso
pra ganhar acesso à rede [DUARTE, 03]. Isto abre brechas na segurança já que
atacantes podem usar antenas em conjunto com softwares, como o NetStumbler,
para monitorar sinais Wi-Fi em busca de SSIDs nos diversos canais de
transmissão para se conectarem a estas redes. Estes usuários podem roubar e
destruir informações ou utilizar a rede para acessar a Internet de graça.
      Os administradores de rede costumam cometer o erro de não modificar o
SSID que vem de fabrica nos dispositivos, tornando muito mais fácil a descoberta
dos SSIDs. Os SSIDs de fabrica devem ser trocados e sua transmissão em




                                                                                52
broadcast desabilitada nos APs. O problema é que isto reduz a funcionalidade da
rede.
        Somente os clientes autorizados devem ter acesso à rede Wi-Fi e isto é
conseguido através de métodos eficientes de criptografia. Mesmo que um intruso
descubra o SSID da rede, ele só poderá invadi-la se possuir a chave de
criptografia usada na transmissão dos dados.



3.2.5- WEP – Wired Equivalent Privacy


        O WEP foi o protocolo criado inicialmente para prover segurança nas redes
do padrão 802.11, que até então estavam desprotegidas.
        O WEP foi desenvolvido por um grupo de voluntários, todos membros do
IEEE, que queriam implementar segurança no novo padrão de rede que estava
surgindo. O WEP se propos a atender as seguintes necessidades:


   •    confiabilidade: o WEP tinha a segurança e confidencialidade da
        informação transmitida.

   •    Autenticação: era preciso ter um método para garantir a autenticação de
        um novo dispositivo válido.

   •    Integridade: o WEP tinha que garantir que os dados transmitidos
        chegariam ao outro lado da rede sem ser alterado, e sem que dados não
        desejados fossem incluídos na transmissão ou removidos no meio do
        caminho [VERÍSSIMO, 03].


        O WEP atua na camada dois (enlace) do modelo ISO/OSI. Ele foi criado
com o objetivo de possibilitar o uso de criptografia para transmissão dos dados,
autenticação na rede sem fio e controle de integridade dos dados [MARTINS, 03].
        O WEP utiliza o algoritmo RC4, que é um algoritmo de chave simétrica
desenvolvido por Ron Rivest, para criptografar os dados. O RC4 criptografa os


                                                                              53
dados a partir de uma chave fixa de 40 bits ou 104 bits pré-definida nos
dispositivos da rede WLAN. Esta chave é combinada com uma seqüência de 24
bits conhecida por Vetor de Inicialização (IV – Initialization Vector), formando uma
chave de 64 ou 128 bits [MARTINS, 03]. Dessa forma cria-se uma seqüência de
bits pseudo-aleatória que, através de operações XOR (Ou Exclusivo) com os
dados, geram os dados criptografados. O IV é modificado para cada pacote
enviado para dificultar ataques. Quando o pacote chega ao receptor, este utiliza a
chave criada e aplica o processo inverso ao da criptografia, descriptografando-os.
      Outro recurso o WEP é o CRC-32, que é uma função detectora de erros
que realiza um cálculo sobre os dados transmitidos e gera um resultado (Integrity
Check Value), que é enviado junto com a mensagem para o receptor. Ao receber
a mensagem o receptor realiza o mesmo cálculo sobre os dados e compara os
resultados. Se os resultados forem iguais, então a mensagem não foi corrompida
e/ou alterada no meio do caminho [VERÍSSIMO, 03].
      A autenticação nas redes Wi-Fi, até este ponto, pode ocorrer de dois modos
sendo que um deles usa criptografia e o outro não. Sem o uso de criptografia, o
acesso pode ser aberto ou fechado. O acesso é aberto quando os APs da rede
enviam pacotes em broadcast para que os clientes Wi-Fi tomem conhecimento da
existência da rede. Estes pacotes contêm informações como SSID da rede, canal
de comunicação utilizado (geralmente existem 11 para os padrões b e g e 13 para
o padrão a) etc. Este é o método utilizado nos HotSpots. Este método ocorre com
o WEP desabilitado e o envio do SSID em broadcast habilitado.
      O acesso é fechado quando o SSID não é enviado em broadcast para os
clientes. Dessa forma o cliente deve ter conhecimento prévio do SSID da rede
para poder se conectar. Neste método, o envio do SSID em broadcast é
desabilitado. Os dois métodos são extremamente vulneráveis. O método aberto
por si só permite a conexão à rede. Já no método fechado podem ser usados
softwares que monitoram os canais de transmissão em busca de informações
sobre a rede como o SSID. Um exemplo deste tipo de software é o NetStumbler.
      O método que utiliza criptografia consiste em configurar chaves pré-
estabelecidas nos clientes sem fio e APs. Através desta chave compartilhada e



                                                                                 54
com o IV, a criptografia é processada com o algoritmo RC4. Este método autentica
os clientes no AP, mas não autentica o AP no cliente, não garantindo se o AP é ou
não é um AP autorizado [MARTINS, 03].
      O método criptográfico de autenticação funciona através do método
Desafio/Resposta conforme podemos ver na figura abaixo.




                       Figura 12 – Autenticação no WEP



      No entanto, o protocolo WEP foi muito criticado por possuir falhas em seus
mecanismos de segurança, perdendo credibilidade. Como no WEP a chave de
criptografia K é a mesma utilizada por todos os hosts da rede, é através do IV que
o algoritmo RC4 varia esta chave. O problema é que o IV de 24 bits é muito
pequeno. A quantidade de combinações diferentes possíveis é de 2**24. Como o
IV varia para cada pacote, a partir de certo ponto, o IV começará a repetir seus



                                                                               55
valores. Além disto o WEP não define como deve ocorrer a variação do IV, ficando
como decisão de cada fabricante. A repetição é ainda mais perigosa quando um
fabricante utiliza um método de incrementar seqüencialmente o IV, pois fica mais
fácil prever os valores assumidos. Esta repetição de seqüências cria a
possibilidade de ataques bem sucedidos e leitura dos dados criptografados, pois
intrusos podem calcular quando o IV começará a repetir seu valor e então utilizar
este IV, em conjunto com a chave da rede (que não varia) para ganhar acesso À
rede [VERÍSSIMO, 03].
      Especialistas em segurança recomendam a troca das chaves secretas da
rede Wi-Fi periodicamente para aumentar a segurança. O problema é que a nova
chave deve ser configurada em cada host da rede individualmente. Isto se torna
pouco prático e até mesmo impossível em redes com muitos hosts.
      Outra falha do WEP se refere a seu mecanismo de garantia de integridade,
o CRC32.
      Por ser uma função linear, e não possuir chave, este método é suscetível a
ataques. É possível modificar controladamente mensagens de forma a gerar um
mesmo Integrity Check Value (resultado do checksum realizado pelo CRC32),
enganando o receptor.
      Outra falha do CRC32, pelo fato deste não usar chaves, é a possibilidade
de se descobrir seqüências RC4 e, através destas, introduzir mensagens na rede,
furando a autenticação. [VERÍSSIMO, 03]
      Devido às fortes críticas quanto às suas falhas, era necessário criar
mecanismos mais eficientes de segurança para as redes Wi-Fi. Surgiu então o
WPA - Wi-Fi Protected Access.



3.2.6- WPA - Wi-Fi Protected Access



       Para corrigir as falhas encontradas no WEP, o IEEE criou um grupo para
desenvolver um novo padrão. O grupo foi chamado de Task Group I e o padrão
802.11i ou WPA2.


                                                                              56
      O WPA2 está sendo desenvolvido com mais prudência que o WEP. Todo o
processo é abertamente discutido.
      Enquanto o padrão 802.11i não ficava pronto, foi desenvolvido pela Wi-Fi
Alliance em conjunto com o IEEE um padrão intermediário entre WEP e 802.11i.
Este padrão foi chamado de WPA (Wi-Fi Protected Access) e fornece melhor
tratamento de segurança que o WEP, ao passo que é compatível com o hardware
que roda o WEP. Dessa forma a atualização do WEP para WPA é feita através da
atualização do firmware dos dispositivos Wi-Fi, não necessitando mudanças na
infra-estrutura de hardware.
      O WPA possui melhores mecanismos de autenticação, privacidade e
controle de integridade que o WEP.



3.2.6.1- Autenticação no WPA.



      No quesito autenticação, o WPA utiliza o padrão 802.1x. O 802.1x foi
desenvolvido para redes cabeadas, mas pode ser aplicado em redes Wi-Fi. Ele
provê controle de acesso baseado em porta e autenticação mútua entre os
clientes e os APs através de um servidor de autenticação.


      Numa       transação   de   autenticação   802.1x   existem   três   entidades
participantes:


          •   o suplicante: usuário a ser autenticado.
          •   servidor   de autenticação: sistema de autenticação Radius
              (protocolo de servidor de autenticação) que faz autenticação de
              clientes autorizados.
          •   autenticador: intermediário na transação entre o suplicante e o
              servidor de autenticação. Geralmente é o AP.




                                                                                 57
                       Figura 13 – Autenticação 802.1x



      Os passos de uma transação de autenticação estão mostrados na Figura
13 e ocorrem da seguinte forma:


      1- o suplicante inicia conexão com o autenticador, que detecta a
inicialização e abre a porta para o suplicante. Somente o tráfego relativo à
transação 802.1x é permitido.
      2- o autenticador pede a identidade ao suplicante.
      3- o suplicante envia sua identidade.
      4- o autenticador repassa a identidade ao servidor de autenticação.
      5- o servidor autentica a identidade do usuário e envia uma mensagem



                                                                            58
ACCEPT ao autenticador.
       6- o autenticador libera o tráfego ao suplicante.
       7- o suplicante pede a identidade do servidor.
       8- o servidor responde com sua identidade.
       9- o suplicante autentica o servidor e só então os dados começam a
trafegar.
       O 802.1x utiliza o protocolo EAP (Extensible Authentication Protocol) para
gerenciar a forma como a autenticação mútua será feita na rede. Ele funciona
através de um framework generalizado, possibilitando a escolha de um método
específico de autenticação a ser utilizado como senhas, certificado PKI ou tokens
de autenticação.
       O autenticador não precisa entender o método de autenticação, ele
simplesmente repassa os pacotes EAP do suplicante para o servidor de
autenticação e vice-versa [SANTOS, 03].
       Existem vários tipos de EAP que dão suporte a diversos métodos de
autenticação:


       •    EAP-LEAP (LightWeight EAP): Desenvolvido pelo CISCO, usa o
            método de login e senha para transmitir a identidade do suplicante ao
            servidor de autenticação.
       •    EAP-TLS (Transport Layer Security): Especificado na RFC 2716. Usa
            um certificado X.509 para autenticação (Transport Layer Security).
       •    PEAP (Protected EAP): Oferece autenticação baseada em senha e
            exige que o servidor de autenticação possua um certificado digital,
            porem não exige        certificados nos clientes. Foi adotado pela
            Microsoft no Windows XP e Windows Server 2003.
       •    EAP-TTLS (Tunneled Transport Layer Security): É uma extensão do
            EAP-TLS, pois utiliza a conexão segura TLS para trocar informações
            adicionais entre o cliente e o servidor. Oferece autenticação mútua e
            unidirecional, na qual apenas o servidor é autenticado.
       Em Ambientes pequenos (doméstico, pequenas empresas), onde um


                                                                                 59
servidor de autenticação pode não estar disponível, é usada uma chave pré-
estabelecida. Ela é conhecida pelo autenticador e suplicante e a autenticação
ocorre de forma parecida com o WEP, constituindo-se em problema de segurança
[SANTOS, 03].



3.2.6.2- Criptografia de dados.



      Ao analisar soluções para os problemas de criptografia do WEP, o TGI
encontrou problemas na criação de um protocolo mais robusto para substituir o
WEP. Os problemas encontrados foram:


         •   baixo poder de processamento dos chips existentes: Os algoritmos
             deveriam ser leves para poderem ser executados nos dispositivos
             que rodavam o WEP.
         •   necessidade de manter compatibilidade com o padrão Wi-Fi, definido
             pela Wi-Fi Alliance.


      A solução imediata encontrada foi a utilização do TKIP (Temporal Key
Integrity Protocol) que é um protocolo de geração de chaves temporais. Esta
solução poderia ser implementada nos equipamentos já existentes desde que eles
tivessem suporte à atualização de firmware.
      O algoritmo de escalonamento de chaves TKIP surgiu de uma idéia
proposta por Russ Housley (RSA Security) e Doug Whiting (HIFN) ao IEEE. Foi
sugerida por Ron Rivest uma função geradora de chaves para derivar chaves de
uma chave base. Rivest propôs a utilização de algoritmos conhecidos como o
MD5, porém, os autores da solução preferiram não utilizar o MD5 por este ser
muito custoso. Ao invés disso eles optaram pelo TKIP por ser mais simples e
exigir menos processamento.

      No TKIP, é utilizada uma chave base de 128 bits chamada de TK (Temporal
Key). Esta chave é combinada ao endereço MAC do transmissor (TA), criando


                                                                            60
uma outra chave chamada de TTAK (Temporal and Transmitter Address Key),
conhecida como "Chave da 1º Fase". A TTAK é combinada com o IV do RC4 para
criar chaves diferentes para cada pacote.

       O TKIP faz com que cada estação da rede tenha uma chave diferente para
se comunicar com o AP, uma vez que a chave é gerada com o endereço MAC das
estações. O problema da repetição de chaves devido à repetição do IV é resolvido
ao passo que a TK é alterada sempre que o IV assumir seu valor inicial [SANTOS,
03].



3.2.6.3- Integridade dos dados.



       No WPA, o mecanismo utilizado para garantir a integridade das
informações é o algoritmo conhecido como Michael. Este método realiza um
cálculo sobre os dados gerando um valor de 64 bits (MIC - Michael Integrity Code).
O MIC é inserido entre a porção de dados e o ICV de 32 bits (CRC32) no frame
802.11. A diferença principal entre o Michael e o CRC32 é que o Michael calcula
o valor de integridade sobre o cabeçalho do frame também enquanto que o
CRC32 só calcula o valor de integridade sobre a carga de dados e o Michael
utiliza chaves para calcular o MIC.
       Ele previne ataques de repetição que são ataques em que frames
repetidos, capturados pelo atacante, são enviados com o intuito de ganhar acesso
ou alterar dados da rede. O Michael introduz um contador de frames em cada
frame. É através deste contador que o ataque de repetição é prevenido.
       O Michael requer pouco processamento e, portanto não precisa de
atualização de hardware só de firmwares [SANTOS, 03].
       O processo de criptografia, descriptografia e controle de integridade do
WPA ocorre em conjunto. O WPA precisa dos seguintes valores para criptografar,
descriptografar e proteger a integridade dos dados da rede sem fio:




                                                                               61
   •    o IV, que é iniciado em 0 e incrementado para cada quadro subseqüente.
   •    a chave de criptografia de dados (para tráfego em unicast) ou a chave de
        criptografia de grupo (tráfego em multicast ou de difusão).
   •    o endereço de destino (DA) e o endereço de origem (SA) do quadro sem
        fio.
   •    o valor do campo Priority (Prioridade), que é definido como 0 e é reservado
        para objetivos futuros de QoS.
   •    a chave de integridade de dados (para tráfego em unicast) ou a chave de
        integridade de grupo (tráfego em multicast ou de difusão).


        A Figura 14 mostra o processo de criptografia do WPA para um quadro de
dados em unicast.




       Figura 14 – Criptografia de dados e controle de Integridade no WPA




                                                                                 62
   O processo ocorre da seguinte forma:


1. o IV, o DA e a chave de criptografia de dados são inseridos em uma função
   de combinação de chave WPA, que calcula a chave de criptografia por
   pacote.
2. o DA, SA, Priority (Prioridade), os dados (a carga 802.11 não
   criptografada), e a chave de integridade de dados são inseridos no
   algoritmo de integridade de dados Michael para produzir o MIC.
3. o ICV é calculado da soma de verificação do CRC-32.
4. o IV e a chave de criptografia por pacote são inseridos na função RC4
   PRNG para produzir um keystream do mesmo tamanho que os dados, o
   MIC e o ICV.
5. o keystream passa por uma operação de XOR (Ou exclusivo) com a
   combinação de dados, do MIC e do ICV para produzir a parte criptografada
   da carga 802.11.
6. o IV é adicionado à parte criptografada da carga 802.11 no campo IV e o
   resultado é encapsulado com o cabeçalho e informações finais sobre o
   802.11 [THE CABLE GUY, 04].




                                                                         63
      A Figura 15 mostra o processo de descriptografia do WPA para um quadro
de dados em unicast.




        Figura 15 - Descriptografia e Controle de Integridade no WPA



      O processo ocorre da seguinte forma:


   1. o valor IV é extraído do campo IV na carga do quadro 802.11 e inserido
      junto com o DA e a chave de criptografia de dados na função de
      combinação de chave, produzindo a chave de criptografia por pacote.
   2. o IV e a chave de criptografia por pacote são inseridos na função RC4
      PRNG para produzir um keystream do mesmo tamanho que os dados
      criptografados, o MIC e o ICV.
   3. o keystream é XORed com dados criptografados, MIC e ICV para produzir
      dados não criptografados, MIC e ICV.


                                                                            64
   4. o ICV é calculado e comparado ao valor do ICV não criptografado. Se os
       valores   do   ICV   não   coincidirem,   os   dados    serão   descartados
       silenciosamente.
   5. o DA, o SA, os dados e a chave de integridade de dados são inseridos no
       algoritmo de integridade Michael para produzir o MIC.
   6. o valor calculado do MIC é comparado ao valor do MIC não criptografado.
       Se os valores do MIC não coincidirem, os dados serão descartados
       silenciosamente. Se os valores do MIC coincidirem, os dados serão
       passados para as camadas de rede superiores para processamento [THE
       CABLE GUY, 04].


       O WPA veio para ser uma solução intermediária para corrigir as falhas do
WEP. Ele fornece um maior grau de segurança que o WEP com melhores
mecanismos de criptografia, autenticação e controle de integridade. O WPA
implementa parte dos recursos do 802.11i na medida que não necessita de novos
hardwares. A solução de segurança completa será implementada no WPA2
(802.11i) que trará criptografia mais forte e necessitará de co-processadores
criptográfico.




                                                                               65
3.2.7- WPA2 ou 802.11i

      Conhecido também como 802.11i, o WPA2 foi ratificado pelo IEEE em
junho de 2004. O WPA, que implementa um subconjunto das funções do WPA2,
solucionou muitos problemas encontrados no WEP, mas não teve grande
aceitação como solução intermediária de segurança Wi-Fi devido ao fato de
reduzir o desempenho (que já é considerado baixo) das redes onde era
implantado.
      O WPA2 é referenciado como solução definitiva de segurança para o
padrão Wi-Fi. A principal mudança entre o WPA2 e o WPA é o método
criptográfico utilizado. Enquanto o WPA utiliza o TKIP com o RC4, o WPA2 utiliza
o AES em conjunto com o TKIP (Advanced Encryption Standard) com chave de
256 bits, que é um método de criptografia muito mais poderoso. A AES permite a
utilização de chaves de 128, 192 e 256 bits, constituindo se assim em uma
ferramenta poderosa de criptografia. A utilização de chave de 256 bits no WPA2 é
padrão. Com a utilização do AES, introduziu-se também a necessidade de novo
hardware, capaz de realizar o processamento criptográfico. Os novos dispositivos
WPA2 possuem um co-processador para realizar os cálculos da criptografia AES.
      O AES é um cifrador em blocos que criptografa blocos de 16 bits de cada
vez. Em maio de 2002, o NIST (National Institute of Science and Technology)
escolheu um cifrador em blocos chamado RIJNDAEL (Nome de seus criadores,
Vincent Rijnien e Joan Daemen), que era um algoritmo criptográfico simétrico,
para criptografar informações do governo americano.
      RIJNDAEL tinha, originalmente, bloco variável de 16, 24 ou 32 bytes e
chave variável de 16, 24 ou 32 bytes. Contudo o NIST decidiu definir e utilizar o
AES com bloco fixo de 16 bytes [BERENT, 05].
      Resumindo, o AES trabalha repetindo várias vezes um conjunto definido de
passos que trabalha com chave secreta que opera com um numero fixo de bytes.
      O AES é reversível, ou seja, o procedimento utilizado para criptografar os
dados, é utilizado para decriptografá-los, mudando se apenas a ordem dos
passos.


                                                                              66
      O AES trabalha com operações de XOR entre os blocos e a chave,
organiza o bloco em uma matriz e realiza trocas circulares em cada linha e
promove uma mistura entre as colunas da matriz [BERENT, 05].
      Para controle de integridade e autenticação, o WPA2 trabalha como o WPA.



3.2.8- HotSpots

      Os HotSpots são redes Wi-Fi públicas de acesso à Internet que crescem
em número a cada dia. Os HotSpots estão se espalhando pelos diversos pontos
do globo, inclusive no Brasil.
      Redes Wi-Fi públicas estão sendo instaladas em hotéis, aeroportos,
lanchonetes, restaurantes, universidades entre outros.
      Hoje o número de HotSpots chega a 90000 no mundo, devendo chegar a
137000 até o fim de 2005 com uma taxa de crescimento anual que ultrapassa
50%. Estes dados são do instituto de pesquisas IDC [REVISTA INFO EXAME, 05].
      No Brasil há cerca de 1000 pontos de acesso públicos que vão desde
universidades a shopping centers. O número de usuários que utilizam os HotSpots
não são divulgados pelas empresas, mas nota-se, ao circular pelos HotSpots, que
o número de usuários do serviço ainda é pequeno. Um dos principais motivos
disto é o modesto número de notebooks no país (cerca de 500000) que
contabilizam apenas 5% dos computadores do Brasil, número que nos Estados
Unidos chega a ser de 1/3 dos computadores, segundo Denis Gaia, consultor do
IDC [REVISTA INFO EXAME, 05].
      Outro ponto contra a popularização do serviço é que, na maioria deles, é
necessário assinatura de provedor específico para o Wi-Fi, o que encarece o uso
do serviço para o usuário.
      O padrão 802.11b predomina atualmente, mas, com a baixa nos preços dos
equipamentos padrão 802.11g, logo haverá substituição do padrão b pelo g. Uma
questão a ser considerada ao passar do padrão b para o g é a convivência
simultânea de dispositivos dos dois padrões na mesma rede. Ao se conectar a um
hotspots do padrão g, um usuário do padrão b acaba por diminuir a velocidade da


                                                                            67
rede para algo mais próximo das redes 802.11b (11 Mbps). Já existem HotSpots
do padrão g que simplesmente barram a conexão de usuários do padrão b.
      Na questão de segurança, os HotSpots devem ser totalmente abertos para
possibilitar que os usuários se conectem sem problemas. Alguns HotSpots
fornecem senhas para que os usuários possam se conectar. Este é o caso do
restaurante japonês Nakombi em São Paulo [REVISTA INFO EXAME, 05].
      Para facilitar a conexão dos usuários, o SSID da rede deve ser divulgado
para que os dispositivos móveis reconheçam a rede ao passar pelo local do
hotSpots.
      Para usuários que necessitem de enviar e receber dados corporativos com
segurança, uma boa saída é a implementação de VPN na rede corporativa do
usuário. Dessa forma os dados sairão criptografados do dispositivo móvel do
usuário ou da rede privada da empresa do usuário. Sem a implementação de
VPN, os dados ficam vulneráveis entre o dispositivo do usuário e o AP público,
podendo ser interceptados e lidos facilmente já que mecanismos como WEP,
WPA e configuração do MAC Address não podem ser usados, pois barrariam as
conexões dos usuários [REVISTA INFO EXAME, 05].




                                                                           68
4- Conclusão


      As redes Wi-Fi têm apresentado um crescimento espantoso nos últimos
anos e este crescimento se dá principalmente pela facilidade de implementação
destas redes e pela queda de preço dos seus dispositivos. Então presencia-se
uma popularização muito grande das redes Wi-Fi tanto em sua implementação
coorporativa quanto pessoal. Com a popularização das redes Wi-Fi, as redes
pessoais se propagaram de forma surpreendente. Cada vez mais pessoas
comuns estão criando redes em suas casas para interligar dispositivos e
compartilhar banda, dados e recursos.
      Tem-se também o surgimento das redes públicas, os famosos HotSpots,
em aeroportos, hotéis, universidades e restaurantes, possibilitando conexão em
tempo integral aos usuários. E deve-se lembrar que as redes wireless estão
apenas em início de desenvolvimento.
      Para um futuro próximo estarão disponíveis redes sem fio com maiores
taxas de transmissão (Wi-Max), introduzindo a banda larga ao paradigma wireless.
Teremos também especificações de qualidade de serviço para as redes sem fio,
entre outros avanços.
      A questão da segurança tende a continuar evoluindo. No começo, com a
utilização do WEP, várias incertezas rondavam as redes Wi-Fi devido às falhas
grosseiras de segurança encontradas neste protocolo. Havia um medo no meio
coorporativo quanto à segurança na implantação das WLANs. Este medo acabou
barrando a disseminação maciça destas redes nas empresas, entidades
educacionais etc.
      Com as redes pessoais não ocorreu o mesmo, devido à menor
preocupação e necessidade dos usuários deste tipo de rede quanto à segurança.
Para as redes pessoais atuais, o WEP é suficiente, pois estas redes não são tão
alvejadas quanto as redes coorporativas.
      Com as falhas do WEP em evidência, ficou claro a necessidade de criação



                                                                             69
de um novo padrão de segurança nas redes Wi-Fi. Este padrão ficou conhecido
como IEEE 802.11i ou WPA2 e, quando pronto, prometia resolver todos os
problemas de segurança existentes. Antes do WPA2, foi introduzido no mercado
um padrão intermediário chamado WPA que utilizava um grupo de funcionalidades
do 802.11i. O WPA foi criado para servir de solução temporária enquanto que o
802.11i não ficava pronto. Com dispositivos de segurança melhores, o WPA
solucionou uma grande quantidade das falhas do WEP, se mostrando uma boa
solução de segurança de baixo custo, já que rodava no mesmo hardware do WEP
e dessa forma não seria necessária a atualização de hardware.
      Mesmo com as melhorias do WPA, ele não foi largamente adotado uma vez
que reduzia o desempenho das redes Wi-Fi. Apesar de ser leve, ele ainda era
mais pesado que o WEP.
      Com a ratificação do 802.11i em 2004, as empresas fabricantes de
dispositivos wireless como, por exemplo, a Intel e a Cisco obtiveram o sinal verde
para comercializar seus dispositivos que operam com a nova especificação.
      O 802.11i chegou operando com um sistema de criptografia mais forte que
a criptografia do WPA. Foi adotado como sistema criptográfico um algoritmo
chamado AES que possibilita cifragem em blocos com chave de 256 bits. Devido
ao sistema forte de criptografia, os dispositivos 802.11i vem com um co-
processador embutido utilizado para realizar os cálculos criptográficos. O 802.11i
se mostra então uma enorme evolução de segurança para as redes Wi-Fi atuais.
      Com esta evolução nos métodos e protocolos de segurança das redes Wi-
Fi, estas redes passam então, no atual estado de desenvolvimento, a ter um nível
de segurança comparável às redes cabeadas como a Ethernet. Tecnologias de
segurança é o que não falta. A carência de dispositivos eficientes de segurança
nas redes Wi-Fi já não é mais problema.
      Com sistemas fortes de segurança as redes Wi-Fi podem agora ser
consideradas, pelo menos em teoria, seguras.
      O Instituto Gartner prevê para os próximos anos que 70% dos ataques bem
sucedidos às redes wireless acontecerão devido à má configuração dos APs e
softwares cliente [SYMANTEC, 04].



                                                                               70
      A preocupação agora fica por conta dos administradores de rede e da forma
como serão implantadas as redes Wi-Fi a partir deste ponto. Quando bem
projetada, uma rede Wi-Fi pode ser tão segura quanto a necessidade. O que falta
é a elaboração de políticas eficientes de segurança nas redes wireless que
considerem todas as suas particularidades e pontos fracos e que levem em
consideração as características do ambiente onde a rede será implantada. Dessa
forma, com uma boa política de segurança, estes pontos críticos poderão ser
cobertos. Os profissionais de segurança já não podem mais esconder suas
deficiências técnicas sobre o pretexto de falta de segurança nas redes Wi-Fi. Cabe
então aos administradores de rede e profissionais de segurança se atualizarem e
ficarem a par das evoluções das redes Wi-Fi para que políticas eficientes de
segurança possam ser elaboradas.




                                                                               71
Referência Bibliográfica:


AIRMAGNET – “THE TOP SEVEN SECURITY PROBLEMS OF 802.11
WIRELESS”.                   2004.                 Disponível                 em:
<http://wp.bitpipe.com/resource/org_1067352081_810/AirMagnet_Security_WhiteP
aper.pdf>. Acessado em abril de 2004.


ALCATEL – “WLAN Security: Top 10 Checklist”. Março de 2004. Disponível em:
<http://www.ind.alcatel.com/library/whitepapers/wp_wlan_security_checklist.pdf>.
Acessado em abril de 2005.


AMARAL, Bruno M.      –   “SEGURANÇA EM REDES WIRELESS”. Outubro de
2003.                                Disponível                               em:
<http://www.cbpf.br/cat/download/seminarios/XSIC/Bruno.pdf>. Acessado em abril
de 2005.


BARELLA, Irene – “Liberdade de movimento”. Janeiro de 2004. Disponível em:
<http://www.resellerweb.com.br/shared/print_story.asp?id=46607>.
Acessado em março de 2005.


BERENT, Adam – “AES (Advanced Encryption Standard) Simplified”. Versão
1.1. Disponível em: <http://www.abisoft.net >. Acessado em abril de 2005.


BORISOV, Nikita; GOLDBERG Ian; WAGNER, David. “Security of the WEP
algorithm”.    Disponível    em:     <http://www.isaac.cs.berkeley.edu/isaac/wep-
faq.html>. Acessado em março de 2005.




                                                                               72
BUIATI, Fábio – “Wireless LANs: Aplicações para o profissional de TI”.
Revista    TI.        16     de    maio        de      2003.       Disponível   em:
<http://www.timaster.com.br/revista/materias/main_materia.asp?codigo=951&pag=
2>. Acessado em outubro de 2004.


CARVALHO, Teresa Cristina - “Segurança em redes sem fio”. IT WEB, 28 de
agosto              de                 2001.              Disponível            em:
<http://www.itweb.com.br/colunistas/artigo.asp?id=15698>. Acessado em outubro
de 2004.


CHIN, Liou K. – “Rede Privada Virtual – VPN”. Novembro de 1998. Disponível
em: <http://gul.ime.usp.br/Docs/docs/comofazer/html/VPN/VPN.pt_BR.html>.
Acessado em março de 2005.


COUTINHO, Pedro Paulo – Implantação do sistema de Firewall. Estudo de
Caso - PRODABEL. 2000.


CYCLADES BRASIL - “Guia Internet de Conectividade”, 5ª edição, Editora
Cyclades Brasil, 1999.


DUARTE, Luiz O. – “Análise de Vulnerabilidades e Ataques Inerentes a Redes
Sem          Fio           802.11x”.           2003.           Disponível       em:
<http://www.acmesecurity.org/hp_ng/files/testes_monografias/acme-monografia-
Wireless-2003-LOD.pdf>. Acessado em abril de 2005.


ELETRICAZINE - Conceitos e Termos Utilizados em Segurança de Rede.
Disponível em:     <www.eletricazine.hpg.ig.com.br>. Acessado em novembro de
2004.




                                                                                 73
EQUIPE INFORMATIKA – “Segurança Básica em WLAN’s”. Disponível em:
<http://www.informatika.inf.br/downloads/dicas/Seguran%C3%A7a_B%C3%A1sica
_em_WLANs.pdf>. Acessado em abril de 2005.


FCCN – Fundação para a Computação Científica Nacional. “WLAN-eU –
Descrição da Solução WLAN”. Edição 1.3. Novembro de 2004. Disponível em:
<http://www.fccn.pt/files/documents/Descricao_da_solucao_Alcatel_WLAN_1_3.pd
f> Acessado em fevereiro de 2005.


FERREIRA, Pollyana A. – “Rede sem fio”. Disponível em: <http://www.pop-
mg.rnp.br/eventos/wksp2004/trabalhos/redesemfio.pdf>. Acessado em março de
2005.


FLYTEC – “Uma atualização sobre a segurança wireless”. Março de 2005.
Disponível em: <http://www.flytec.com.br/noticias.asp?codigo=33>.
Acessado em março de 2005.


FRANCISCO,      Alexandre     J.    –   “IEEE    802.1x”.    Disponível   em:
<http://www.networkdesigners.com.br/Artigos/8021x/8021x.html>.
Acessado em fevereiro de 2005.


IDG NOW – “As tecnologias de acesso sem fio estão no ar”. Dezembro de
2004.                               Disponível                            em:
<http://idgnow.uol.com.br/AdPortalv5/ChatInterna.aspx?GUID=C9E53B86-2C33-
4142-A9B7-81A1CAA08114&ChannelID=21080113>. Acessado em março de
2005.


IDG NOW. – “Wi-Fi já tem segurança”. Dezembro de 2004. Disponível em:
<http://www.added.com.br/v2004/noticia002.htm> Acessado em fevereiro de 2005.




                                                                          74
KARNUT, Marco – “Segurança em Redes Wireless 802.11b: Ataques e
Defesas”.          Novembro          de        2002.        Disponível        em:
<http://www.tempest.com.br/download/seg-wireless.pdf>. Acessado em março de
2005.


MACIEL, Paulo D.; NUNES, Bruno A.; CAMPOS, Carlos A.; MORAES, Luís F. M -
“Influência dos Mecanismos de Segurança no Tráfego das Redes sem Fio
802.11b”.          Agosto         de         2003.         Disponível         em:
<http://www.galegale.com.br/artigo_info.asp?cod=3>. Acessado em março de
2005.


MAIA, Luiz P.;PAGLIUSI, Paulo S. – “Criptografia e Certificação Digital”.
Disponível   em:        <   http://www.training.com.br/lpmaia/pub_seg_cripto.htm>.
Acessado em abril de 2005.


MAIA, Roberto -“Segurança em Redes Wireless-802.11i”. Disponível em:
<http://www.gta.ufrj.br/seminarios/semin2003_1/rmaia/802_11i.html>.      Acessado
em fevereiro de 2005.


MARTINS, Marcelo – “Protegendo Redes Wireless 802.11b”. Março de 2003.
Disponível em <http:/ /www.modulo.com.br/>. Acessado em janeiro de 2004.


MICROSOFT - “Arquitetura da Solução LAN Sem Fio Protegida”. Maio de
2004. Disponível em:
<http://www.microsoft.com/brasil/security/guidance/topics/wireless/secmod169.ms
px>. Acessado em fevereiro de 2005.


MICROSOFT - “Projetando Segurança de LAN sem Fio Usando o 802.1X”.
Maio               de              2004.               Disponível             em:
<http://www.microsoft.com/brasil/security/guidance/topics/wireless/secmod172.ms
px>. Acessado em fevereiro de 2005.



                                                                               75
MICROSOFT - “Projetando sua Infra–estrutura de Chave Pública”. Maio de
2004. Disponível em:
<http://www.microsoft.com/brasil/security/guidance/topics/wireless/secmod170.ms
px>. Acessado em fevereiro de 2005.


MICROSOFT – “Usando WPA na solução”. Junho de 2004. Disponível em:
<http://www.microsoft.com/brasil/security/guidance/lans/peap_B.mspx>
Acessado em fevereiro de 2005.


MURILO, Nelson. - “Ataques à Rede Sem-Fio”. 05 de outubro de 2004.
Disponível    em:        <https://www.unesp.br/gts/slides/02.2004/gts0204-09slides-
initutwireless.pdf>. Acessado em fevereiro de 2005.


MURILO, Nelson. - “Segurança em Redes Sem Fio”. Janeiro de 2003. Disponível
em:                <https://www.unesp.br/gts/slides/01.2003/nelson-murilo-wireless-
gts2003.pdf>. Acessado em Novembro de 2004.


NIC BR Security Office. - “Cartilha de Segurança para Internet Parte V: Redes
de Banda Larga e Redes Sem Fio (Wireless)”. 11 de março de 2003.
Disponível   em:        <http://www.nbso.nic.br/docs/cartilha/cartilha-05-banda-larga-
wireless.html>. Acessado em outubro de 2004.


PCWORLD – “Conecte e proteja sua rede”. Junho de 2004. Disponível em:
<http://pcworld.uol.com.br/AdPortalV3/adCmsDocumentoShow.aspx?Documento=
8205231>. Acessado em março de 2005.


PRADO, Eduardo      –   “E agora, José? O Wi-Fi já tem segurança”. Fevereiro de
2005.                                  Disponível                                 em:
<http://www.wirelessbrasil.org/wirelessbr/colaboradores/eduardo_prado/artigo_47.
html>. Acessado em abril de 2005.


                                                                                   76
QUEIROZ,        Alexandre      –    “Redes        Wireless”.     Disponível     em:
<http://www.rednetwork.com.br/tecnico/apresentacoes/2005%20Wireless.ppt>
Acessado em abril de 2005.


REVISTA INFO EXAME. – “Wi-Fi”. Editora Abril. São Paulo, 2005 - Mensal.


SANTO, Luiz C. - “Como funciona a autenticação ? (Rede)”. Agosto de 2000.
Disponível em: <http://www.clubedasredes.eti.br/rede0008.htm>. Acessado em
março de 2005.


SANTOS, Isabela C. – “WPA: A evolução do WEP”. Fevereiro de 2003.
Disponível em: <http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=70>
Acessado em março de 2005.


SCHWARTZ, Ephraim – “Wi-Fi security standard to require new hardware -
802.11i      uses    AES    encryption”.   Maio     de   2004.    Disponível    em:
<http://www.infoworld.com/article/04/05/07/HNwifi_1.html>        Acessado       em
fevereiro de 2005.


SETTE, Adriana Aparecida. - “Um Guia para Implantação de Segurança Básica
em Sistemas”. Universidade Luterana do Brasil, novembro de 2001. Disponível
em: <http//www.projetoderedes.kit.net>. Acessado em novembro de 2004.


SILVA, Luiz A. F.; DUARTE, Otto C. M. B. – “RADIUS em Redes sem Fio”.
Disponível                                                                      em:
<http://www.gta.ufrj.br/seminarios/CPE825/tutoriais/lafs/RADIUS_em_Redes_sem
_Fio.pdf>. Acessado em abril de 2005.


SOARES, L., - “Redes de computadores: das LANs, MANs e WANs às redes
ATM”, 6ª edição, Editora Campus, 1995.



                                                                                77
SYMANTEC – “Qual a grande ameaça que ronda as redes sem fio?”.
Dezembro                de            2004.             Disponível             em:
<http://noticias.uol.com.br/mundodigital/proteja/symantec/corporativa/ult2595u31.jh
tm>. Acessado em março de 2005.


TANENBAUM Andrew S. - “Redes de Computadores”. Editora Campus. 3º
Edição. Rio de Janeiro, 1997.


THE CABLE GUY. - “Integridade e criptografia de dados do WPA”. Novembro
de                      2004.                   Disponível                     em:
<http://www.microsoft.com/brasil/technet/Colunas/CableGuy/CG1104.mspx>
Acessado em fevereiro de 2005.


THE CABLE GUY – “Wi-Fi Protected Access (WPA) Overview”. Maio de 2003.
Disponível                                                                     em:
<http://www.microsoft.com/technet/community/columns/cableguy/cg0303.mspx>
Acessado em fevereiro de 2005.


T-RODMAN. - “Crescimento do Wireless no Brasil”. Fórum Pcs, 20 de junho de
2004.      Disponível   em:     <http://www.forumpcs.com.br/review.php?r=73534>.
Acessado em outubro de 2004.


UTL - “Wireless LANs. Extensões ao 802.11”. 2003. Disponível em:
<http://digitais.ist.utl.pt/ec-cm/acetatos_aulas/Extensoes_802.11%20Security.pdf>
Acessado em fevereiro de 2005.


VERÍSSIMO, Fernando – “Em defesa de Rivest”. Dezembro de 2001. Disponível
em: <http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=55>. Acessado em abril
de 2005.




                                                                                78
VERÍSSIMO, Fernando – “O Problema de Segurança em Redes Baseadas no
Padrão       802.11”.     Dezembro          de        2003.     Disponível    em:
<http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=82>. Acessado em março de
2005.


WIKIPEDIA.      -   “RC4”.      Fevereiro        de     2005.    Disponível   em:
<http://en.wikipedia.org/wiki/RC4_%28cipher%29>. Acessado em fevereiro de
2005.




                                                                               79

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:9
posted:9/9/2011
language:
pages:79