Redes Wireless – Parte XXXVI

 

10.5 – Políticas de Segurança Corporativa

 

Uma companhia que planeja fazer uso de uma WLAN deveria ter uma política de segurança corporativa que avaliasse os riscos de introduzir uma WLAN na infra-estrutura de rede existente. O exemplo de um tamanho de célula inapropriado que permitisse a um hacker ganhar acesso a rede estando distante do local aonde a mesma está é um bom exemplo de um item que deveria ser incluído em qualquer política de segurança corporativa. Outros itens que deveriam ser abordados pela política de segurança são: senhas fortes, senhas WEP fortes, segurança física , uso de soluções de segurança avançada e inventários regulares de hardware da WLAN. Essa lista pode ser extensa levando-se em conta que as soluções de segurança adotadas variam muito entre as organizações. O nível de detalhamento da política de segurança no que se refere a WLAN dependerá das necessidades de segurança da organização tão bem como a extensão dos segmentos WLAN da rede.

 

Os benefícios de ter, implantar e manter uma política de segurança sólida, são muitos. Prevenção de perda e roubo de dados, prevenção contra sabotagem e espionagem e a manutenção dos segredos da companhia são apenas alguns deles.

 

Uma boa política de segurança começa pelo gerenciamento. Reconhecimento das necessidades para delegação e segurança das tarefas de criação de documentação apropriada com o intuito de incluir a WLAN na política de segurança existente deveria ser uma prioridade. Em primeiro lugar aqueles que serão responsáveis pela proteção dos segmentos WLAN, devem ser treinados na tecnologia. Depois esse profissional já treinado deveria interagir com os profissionais de gerenciamento e chegar a um acordo quanto as necessidades de segurança da companhia. Esse grupo de profissionais treinados tem condições portanto de elaborar uma lista de procedimentos e requerimentos que se seguidos e aplicados a todos os níveis, garantirão que a WLAN permanecerá tão segura quanto a rede cabeada.

 

10.5.1 – Manutenção de informações confidenciais

 

Alguns itens que somente deveriam ser de conhecimento dos administradores de rede nos níveis apropriados são:

 

» Logins e senhas de pontos de acesso e pontes

 

» Strings SNMP

 

» Chaves WEP

 

» Listas de endereços MAC

 

A manutenção desse tipo de informação somente por pessoas confiáveis e indivíduos treinados, tais como os administradores de rede, se deve ao fato de que um hacker poderia facilmente usar essas informações para ter acesso a rede e a seus dispositivos. Essa informação portanto, deveria ser armazenada de forma segura. Existem aplicações no mercado que usam criptografia forte apenas com o propósito de armazenamento de senhas e dados confidenciais.

 

10.5.2 – Segurança Física

 

Embora a segurança física seja importante quando tratamos de uma LAN, ela se torna ainda mais importante no que se refere as WLANs. Por razões vistas anteriormente, uma pessoa que possui um PC Card (e talvez uma antena), não precisa estar no mesmo prédio em que está instalada a rede para ter acesso a ela. Mesmo softwares de detecção de intrusão não suficientes para impedir um hacker wireless de roubar informações. Ataques passivos não deixam traços na rede porque não é realizada nenhuma conexão. Existem utilitários disponíveis no mercado que podem ver um PC Card que esteja operando em modo promiscuo, acessando dados sem a necessidade de fazer uma conexão.

 

Quando WEP é a única solução de segurança implementada, um controle rígido deve ser feito nos usuários que tem dispositivos clientes comprados pela companhia, tais como, não permitir que esses dispositivos clientes sejam levados para fora dos domínios da empresa. Uma vez que a chave WEP está armazenada no firmware do dispositivo cliente, sempre que um dispositivo cliente é levado por um usuário para sua casa por exemplo, abre-se uma brecha de segurança. O administrador deveria saber quem, onde e quando um PC Card é levado para fora da empresa.

 

Devido ao fato de que tal a manutenção desse controle é em alguns casos inviável, principalmente porque a sua complexidade está ligada ao tamanho da organização, um administrador deveria se convencer de que WEP, não é uma solução de segurança adequada. Mesmo com um controle rígido, se um PC Card é perdido ou roubado, deveria ser requerido a pessoa responsável pelo PC Card que comunicasse o fato imediatamente ao administrador de forma que precauções pudessem ser tomadas para evitar a invasão da rede. Tais precauções deveriam incluir no mínimo, uma re- inicialização dos filtros de MAC e mudanças das chaves WEP.

 

A empresa deveria possuir guardas que periodicamente fazem rondas nas cercanias da empresa procurando por atividade suspeita. Guardas de segurança que são treinados para reconhecer hardware wireless e alertar o pessoal da empresa em casos de identificação de pessoas que não são da empresa de posse de hardware wireless ao redor do prédio, é uma medida efetiva na tentativa de reduzir ataques.

 

10.5.3 – Inventário de equipamento WLAN e auditoria de segurança

 

Como um complemento da segurança física, todo o equipamento WLAN deveria ser inventoriado regularmente com o intuito de evitar o acesso não autorizado a rede da empresa. Se a empresa é muito grande e possui uma quantidade significativa de equipamentos, realizar inventários regulares não é uma boa prática. Nesses casos é altamente recomendado que as soluções de segurança a serem implementadas não sejam baseadas no hardware utilizado, mas sim baseadas em logins e senhas ou qualquer outro tipo de solução de segurança independente do hardware. Já para redes de pequeno e médio portes, a prática de inventariar os equipamentos em base mensais ou trimestrais, pode motivar os usuários a reportar casos de perda ou roubo de dispositivos.

 

Varreduras periódicas da rede utilizando sniffers na procura por dispositivos “piratas” é uma medida muito valiosa na tentativa de manter a rede segura. Consideremos o caso hipotético em que uma solução de rede wireless bem elaborada (e portanto cara), estivesse implantada e altamente “segura” e desde que a área de cobertura não se estende a uma área particular do prédio, um usuário instala um ponto de acesso não autorizado em sua área de trabalho, naquele ponto. Fazendo isso o usuário sem saber, acabou de fornecer a um hacker uma porta de entrada, uma rota para entrar na rede, burlando toda a solução de segurança bem elaborada e cara.

 

Inventários e auditorias de segurança deveriam ser bem documentados em uma política de segurança corporativa. Os tipos de procedimentos a serem executados, as ferramentas a serem utilizadas e relatórios a serem gerados, deveriam todos ser claramente detalhados como parte da política. Gerentes deveriam esperar relatórios desse tipo regularmente por parte de um administrador de rede.

 

10.5.4 – Usando soluções de segurança avançadas

 

Empresas que resolvem implementar uma WLAN, deveriam pegar as vantagens dos mecanismos de segurança avançados disponíveis no mercado. Seria necessário em uma política de segurança que a implementação de qualquer mecanismo desse tipo fosse documentada. Devido ao fato dessas tecnologias serem novas, proprietárias e utilizadas em combinação com outros protocolos de segurança ou tecnologias, elas deveriam ser muito bem documentadas, para que se uma brecha de segurança ocorrer, o administrador possa determinar onde e como ela ocorreu.

 

Como poucas pessoas na industria conhecem e são treinados  na tecnologia wireless, a probabilidade  de uma brecha de segurança ocorrer quando um empregado é desligado é muito maior quando WLANs fazem parte de uma rede. O desligamento de empregados é outra importante razão para que uma documentação altamente detalhada e funções de segurança sejam criadas e mantidas.

 

10.5.5 – Redes Wireless Públicas

 

É quase que inevitável que usuários corporativos com informações muitas vezes sigilosas em seus laptops irão conectar os mesmos a uma rede wireless pública. Por isso é muito importante que a política de segurança esteja atenta a esse detalhe determinando que todos os usuários (independente do hardware wireless ser oferecido pela empresa ou pelo próprio usuário), usasse um firewall pessoal e um software anti-virus, já que nas redes públicas há muito pouca, para não dizer, nenhuma segurança para oferecer uma conectividade simples para o usuário e diminuir a quantidade de investimento que seria necessária com suporte técnico.

 

Mesmo se os servidores no segmento cabeado estivessem protegidos, os usuários ainda estariam vulneráveis. Vejamos um exemplo muito comum em que um hacker está em um aeroporto utilizando um hotspot wi-fi. Este hacker poderia sniffar a WLAN, capturar usernames e senhas, logar no sistema e aí esperar que um usuário se logasse também. Então o hacker poderia fazer uma varredura baseada em ping através da subrede procurando por outros clientes wireless, encontrar os usuários e ter acesso aos arquivos em seus laptops. Esses usuários vulneráveis se tornam alvos fáceis para um hacker devido a seu desconhecimento e despreparo ao lidar com uma tecnologia de ponta como redes wireless.

 

10.5.6 – Acesso limitado e rastreado

 

Muitas LAN corporativas tem algum mecanismo para limitar e rastrear o acesso do usuário a rede. Na maioria dos casos um sistema que ofereça mecanismos de autenticação, autorização e serviços de conta (AAA) é empregado. Este mesmo mecanismo de segurança deveria ser documentado e implementado como parte da segurança da WLAN. Serviços AAA permitirão a empresa designar direitos de uso para uma classe particular de usuários. Aos visitantes por exemplo, deveria ser permitido somente o acesso a internet, enquanto que aos empregados, além do acesso a internet, deveria ser permitido o acesso a seus servidores departamentais.

 

Manter um log dos direitos dos usuários e suas atividades na rede, pode ser uma medida valiosa se se está interessado em saber quem fez o que na rede. Consideremos um caso em que o usuário se encontra de férias. Durante as férias a conta do usuário foi usada quase que todos os dias. Manter logs de atividades como esse dará ao administrador uma visão do que está realmente acontecendo na rede. Usando esse mesmo exemplo e sabendo que o usuário está de férias, o administrador poderia começar a procurar de onde o falso usuário estava se conectando a rede.

 

10.6 – Recomendações de Segurança

 

Vamos apresentar agora algumas recomendações para proteger redes wireless.

 

10.6.1 – WEP

 

Não confie somente no WEP como uma medida de segurança para a sua rede, não importando o quão bem ela possa estar implementada. Já provamos por A + B que uma rede usando somente WEP não é uma rede segura. Mas se depois de tudo isso você ainda insistir em usá-la por uma série de motivos, cabe fazer alguns lembretes.

 

» Não use Chaves WEP que estão relacionadas com o SSID ou a empresa.

 

» Use chaves que sejam difíceis de lembrar e portanto difíceis de serem descobertas.

 

WEP só é uma solução efetiva para reduzir o mapeamento casual da rede. Um individuo que não esteja maliciosamente tentando entrar na sua rede, mas só quer vê-la, não terá sucesso porque ele não possuirá a chave WEP.

 

10.6.2 – Tamanho da Célula

 

Para reduzir a chance de rastreamento de sinal, um administrador deveria se assegurar que as células dos pontos de acesso estão com o tamanho apropriado. A maioria dos hackers procuram por localizações onde muito pouco tempo e energia deve ser gasta para se ganhar acesso a uma rede. Por essa razão é muito importante evitar ter pontos de acesso que emitam sinais fortes e esses se estendam para além das cercanias da empresa, a menos que seja necessário. Alguns pontos de acesso a nível corporativo possuem uma potência de saída regulável. Com isso é possível controlar o tamanho da célula RF em torno do ponto de acesso. Se o sinal não chega a uma determinada localização, ele não pode ser rastreado e conseqüentemente a rede não poderá ser acessada.

 

Ë muito comum o uso da potência máxima em todos os dispositivos WLAN na tentativa de obter a máxima performance e cobertura, mas por outro lado isso esse tipo de configuração pode fazer com que a rede esteja susceptível a ataques.

 

O ponto de acesso tem um tamanho de célula que pode ser controlada pela potência de saída emitida pelo AP e pelo ganho da antena sendo utilizada. Se a célula é grande o suficiente, que permita a um individuo ouvir, detectar ou até ganhar acesso a rede, sua rede está exposta a vários tipos de ataques desnecessariamente. O tamanho apropriado da célula pode ser determinado pelo site survey e deveria ser documentado juntamente com a configuração do ponto de acesso ou ponte para uma determinada área. 
Em alguns casos seria necessário instalar dois pontos de acesso com células pequenas para evitar possíveis vulnerabilidades em uma rede.

 

Tente localizar seu ponto de acesso fora da sua casa ou prédio. Isso minimiza a possibilidade de captura do sinal da sua rede fora da área pretendida. Se antenas externas são usadas, a seleção do tipo de antena correto será de grande valia para minimizar o alcance do sinal fora da área desejada.

 

Ë sempre importante desligar os pontos de acesso quando eles não estão em uso.

 

10.6.3 – Autenticação de Usuário

 

Uma vez que a autenticação de usuário é de suma importância e devido ao fato do padrão 802.11 não especificar qualquer método de autenticação de usuário, torna-se imperativo a implementação de um método de autenticação de usuário, tão logo a WLAN esteja instalada. A autenticação de usuário deve ser baseada em esquemas que fossem independente de dispositivo, tais como: usernames e senhas, cartões, sistemas baseados em token ou qualquer outro mecanismo que identificasse o usuário e não o hardware. A solução a ser implementada deveria suportar autenticação bi-direcional entre um servidor de autenticação (RADIUS) e os clientes wireless.

 

10.6.4 – Necessidades de Segurança

 

Escolha uma solução de segurança que venha de encontro com as necessidades e orçamento da empresa, visando sempre o crescimento da infraestrutura. Uma rede que começa com 1 AP e 5 clientes pode crescer em pouco tempo para 15 Aps e 300 clientes. Um mecanismo de segurança que se mostrava efetivo para 5 clientes, não será adequado para 300. Uma empresa poderia gastar muito dinheiro na aquisição de soluções de segurança que iriam facilmente acompanhar o crescimento da rede, tais como: sistemas de detecção de intrusão, firewalls e servidores RADIUS. Antes de se escolher pela solução de segurança deve-se avaliar uma série de fatores para se obter o maior custo x beneficio.

 

10.6.5 – Usando Ferramentas de Segurança Adicionais

 

Tirar proveito da tecnologia que está disponível, como VPNs, firewalls, IDS, padrões e protocolos tais como 802.1x e EAP, autenticação de cliente com servidores RADIUS pode ajudar a tornar as soluções wireless mais seguras indo além do que o padrão 802.11 exige.  O custo e tempo na implementação dessas soluções varia de soluções para usuários domésticos (SOHO) a soluções corporativas.

 

10.6.6 – DMZ Wireless

 

Outra idéia na implementação da segurança em WLAN é criar uma DMZ wireless (WDMZ). A criação dessa WDMZ usando firewalls e roteadores pode ser dispendiosa dependendo do nível de implementação. WDMZs são geralmente implementadas em empresas de médio e grande porte. Devido ao fato de que pontos de acesso são basicamente inseguros e não confiáveis, eles deveriam estar separados de outros segmentos da rede por um firewall.

 

Figura 152 – Uma DMZ wireless