Protecção de redes sem fios

As redes sem fios tornaram-se universais, proporcionando uma conectividade crucial para fins pessoais, empresariais e governamentais. No entanto, estas redes também apresentam desafios de segurança únicos devido à sua natureza de difusão, tornando-as propensas a várias vulnerabilidades, que podem ser exploradas por cíber criminosos para obter acesso não autorizado ou perturbar operações da rede. Seguem-se algumas das vulnerabilidades mais comuns encontradas nas redes sem fios:
Modo de encriptação fraca - Os primeiros protocolos de encriptação desenvolvidos, como o WAP (Wired Equivalent Privacy), embora sendo possível ainda encontrar como opção de configuração mas encontram-se no estado de desactualizados e são facilmente decifrados. Apesar da disponibilidade de protocolos mais fortes, como o WPA3, muitas redes ainda utilizam métodos de encriptação fracos ou desactualizados.
Definições de fabrica - muitos dispositvos de roteameno e pontos de acesso sem fios vêm com definições predefinidas que raramente são alteradas pelos utilizadores. Estas predefinições incluem frequentemente nomes de utilizador e palavras-passe comuns, o que os torna alvos fáceis para os atacantes.
Difusão de Service Set Identifier (SSID) - a difusão do  SSID permite que dispositivos detectem e se liguem à rede sem fios. No entanto, a difusão do SSID pode revelar a presença da rede a potenciais criminosos, facilitando o seu ataque.
Pontos de acesso não legítimos - criminosos configuram pontos de acesso que imitam redes legítimas. Utilizadores, de forma inconsciente podem ligar-se a estes pontos desonestos, expondo os seus dados a interseção e roubo.
Firmware desactualizado - quando adquiridos, dispositivos vem com uma versão de firmware que após um tempo pode ficar desactualizado. Sem actualizações regulares, estes dispositivos podem ter vulnerabilidades não corrigidas que os atacantes podem explorar.
Segmentação inadequada da rede - redes mal segmentadas permitem que os atacantes que obtêm acesso a uma parte da rede consigam facílmente aceder a outras partes. Uma segmentação adequada pode limitar o alcance de um ataque.

Protocolos seguros

A segurança de redes sem fios implica a implementação de protocolos de segurança robustos para proteger dados transmitidos através das ondas de rádio. Ao longo dos anos foram desenvolvidos vários protocolos de segurança para redes sem fios, cada um oferecendo diferentes níveis de proteção contra o acesso não autorizado e outras ameaças à segurança.

WEP

Do inglês Wired Equivalent Privacy, foi um dos primeiros protocolos de segurança concebidos para redes sem fios, com o objectivo de proporcionar um nível de segurança comparável ao de uma rede com fios, encriptando os dados transmitidos através do ar. É considerado altamente inseguro devido aos seus fracos algoritmos de encriptação e a várias vulnerabilidades que podem ser facilmente exploradas. Pode ser decifrado em minutos utilizando ferramentas facilmente acessíveis, o que o torna inadequado para proteger redes sem fios modernas.

WPA

Do inglês Wi-Fi Protected Access, foi introduzido como uma solução provisória para resolver os pontos fracos do WEP. Utiliza o protocolo TKIP (Temporal Key Integrity Protocol) para aumentar a segurança. Comparado ao WEP, este melhora significativamente a proteção mas apresenta vulnerabilidades  devido a fragilidades no protocolo TKIP. Embora ofereça melhor proteção do que o WEP, não é recomendado o uso se estiverem disponíveis opções mais seguras.

WPA2 e WPA2-Enterprise

É o sucessor do WPA e tornou-se a norma para a segurança das redes sem fios. Utiliza o Advanced Encryption Standard (AES) para encriptação, que é mais seguro do que o TKIP. O WPA2 proporciona uma segurança robusta para a maioria das redes sem fios. No entanto, é vulnerável a determinados ataques, como a vulnerabilidade KRACK (Key Reinstallation Attack). Apesar destes problemas, o WPA2 continua a ser uma boa opção para proteger as comunicações sem fios. 
O WPA2-Enterprise é uma versão do WPA2 concebida para redes empresariais, fornecendo funcionalidades de segurança melhoradas. Utiliza um servidor de autenticação (normalmente um servidor RADIUS) para autenticar cada utilizador individualmente, permitindo um controlo de acesso e uma gestão de rede mais fortes em comparação com o WPA2-Personal, que utiliza uma palavra-passe partilhada.

WPA3

É o mais recente protocolo de segurança concebido para remediar as deficiências do WPA2 e fornecer caraterísticas de segurança mais fortes. Introduz melhorias como o Simultaneous Authentication of Equals (SAE) e a encriptação melhorada. O WPA3 oferece melhorias significativas em relação aos seus antecessores, tornando-o o protocolo de segurança sem fios mais seguro atualmente disponível. Foi concebido para ser resistente a ataques de "dicionário offline" e fornece sigilo de encaminhamento, garantindo que, mesmo que uma chave de sessão seja comprometida, as comunicações anteriores permanecem seguras.

WPS

Do inglês Wi-FI Protected Setup, é uma funcionalidade que simplifica o processo de ligação de dispositivos a uma rede sem fios, utilizando um PIN ou método de botão de pressão. Apesar da sua conveniência, o WPS é considerado inseguro devido a vulnerabilidades na sua concepção, em particular o método PIN, que pode ser explorado através de ataques de força bruta (brute force). Recomenda-se a desativação do WPS para evitar potenciais violações de segurança.

Melhores práticas

As redes sem fios oferecem conveniência de conetividade sem constrangimentos dos cabos físicos mas também apresentam desafios de segurança únicos. A proteção destas redes contra potenciais ameaças é essencial para manter a integridade, confidencialidade e disponibilidade dos dados.

Uso de protocolos de encriptação robusto

A implementação de uma encriptação forte é crucial para impedir o acesso não autorizado a redes sem fios. Utilize sempre o WPA3 para obter o nível de segurança mais elevado. Se o WPA3 não for suportado pelo dispositivo, aconselha-se a usar o WPA2 como o protocolo minímo. Não se aconselha o uso do WEP, uma vez que está desatualizado e é facilmente decifrado.

Configurar a rede de forma segura

Definições correctas de configuração da rede podem reduzir significativamente vulnerabilidades, modificando o SSID predefinido para um nome único e que não revele a marca ou o modelo do dispositivo roteador, desactivar a difusão de SSID para tornar a rede menos visível para scanners casuais é uma óptima opção, limitar o número de endereços IP que o servidor DHCP pode atribuir para reduzir o risco de ligação de dispositivos não autorizados.

Métodos de autenticação fortes

É fundamental garantir que apenas os utilizadores autorizados possam aceder à rede. Utilize palavras-passe fortes e complexas para a rede sem fios e altere-as regularmente. Implemente a Autenticação Multi-Fator (Multi-Factor Authentication - MFA) como uma camada adicional de segurança, garantindo que os utilizadores verifiquem suas identidades através de vários métodos.

Actualizações de firmware e software

Manter o firmware e o software actualizados é essencial para proteger contra vulnerabilidades conhecidas. Verifique regularmente se existem e instale actualizações de firmware para todos os dispositivos sem fios, incluindo routers e pontos de acesso. Active as actualizações automáticas sempre que possível para garantir que são aplicadas as últimas correcções de segurança.

Deteção de intrusões (monitorar a rede)

Monitorar a actividade da rede pode ajudar a identificar e atenuar ameaças à segurança. Habilitar o logging (processo de registo de eventos, actividades e informações relevantes que ocorrem em um sistema, aplicação ou infraestrutura) no dispositovo roteador sem fios para acompanhar e analisar actividades da rede. Implemente um sistema de detecção de intrusos para monitorar actividades não comuns ou suspeitas na rede.

Segurança física

A proteção do hardware físico da rede é igualmente importante. Colocar dispositivos roteadores e pontos de acesso em locais seguros e centrais para limitar o acesso físico não autorizado. Desactivar portas Ethernet não utilizadas para evitar ligações físicas não autorizadas. 

Uso de VPNs

As redes privadas virtuais (Virtual Private Network - VPN) acrescentam uma camada adicional de segurança, especialmente para o acesso remoto. Criar condições para que utilizadores se conectem através de uma VPN ao aceder à rede remotamente para garantir que os dados estejam encriptados e seguros. Para organizações maiores, utilize "VPNs site a site" para proteger as comunicações entre diferentes escritórios.

Segmentação (redes para visitas)

A segmentação da rede pode ajudar a isolar dados e dispositivos sensíveis de potenciais ameaças. Configure uma rede de convidados separada para visitantes ao invés de permitir que estes utilizem a rede principal. Utilize VLANs (Virtual Local Area Networks) para segmentar a rede e separar dispositivos e dados críticos do tráfego geral da rede.

Conclusão

A escolha do protocolo de segurança sem fios correcto é essencial para proteger as redes sem fios de acessos e ataques não autorizados. Ao compreender e implementar os protocolos de segurança adequados, os administradores de rede podem aumentar a segurança das suas redes sem fios. Seguindo estas e outras melhores práticas, as redes sem fios podem ser eficazmente protegidas contra uma vasta gama de potenciais ataques, protegendo informações sensíveis e mantendo a integridade das operações de rede.