Estamos falando de WLAN ou Wireless LAN, padrão do IEEE que no Brasil vem ganhando força nas versões 802.11b/g/n, utilizando freqüências de 2.4GHz até 5GHz e velocidades de até 150 Mbps. Circular livremente dentro do ambiente corporativo com um PDA ou notebook conectado à redes sem fio já é uma realidade em várias empresas no país.

Infelizmente um fator fundamental vem sendo colocado em segundo plano na implementação dessas redes: a segurança da informação.

Muitas vezes a rede corporativa cabeada, contando com diversos perímetros de segurança regidos por uma política de segurança eficaz, fica vulnerável a acessos indevidos e ataques quando a implementação inadequada de uma rede sem fio é realizada.

Por que suas informações não estão protegidas em uma rede wireless?

As soluções disponíveis no mercado utilizam em sua maioria o padrão WPA ou WPA2 para garantia de sigilo das informações. O WPA e o WPA2, Wi-Fi Protected Access, usam o protocolo AES para realizar criptografia das chaves de acesso. Mas ainda encontramos o WEP ou Wired Equivalent Privacy, que utiliza a implementação do protocolo RC4 para realizar criptografia, que já mostrou sinais de falhas graves. Pesquisadores descobriram que era possível ter acesso à chave utilizada na criptografia provocando o surgimento de diversas ferramentas para quebra do WEP na Internet.

Contar com o WEP, que está disponível na maior parte dos equipamentos wireless, ou somente com o WPA está longe de ser garantia para a segurança dos dados transmitidos.

Além do WPA e do WEP, não se pode dispor das demais características de segurança disponíveis em Access Points e interfaces de rede. Controle de acesso por endereços MAC e comunidades SNMP são alguns exemplos de funcionalidades que podem ser burladas. E isso não é suficiente.

Como se proteger?

Para se obter um nível de segurança satisfatório é preciso implementar controles externos aos equipamentos. Configuração adequada, criptografia, autenticação forte e monitoração dos acessos da rede sem fio são imprescindíveis.

A solução da 3Elos para segurança de redes wireless é dividida nas seguintes fases e atividades:

Análise do Ambiente
Especificação e Configuração dos Equipamentos
Implementação de Criptografia
Autenticação Forte
Monitoração
Decoy Device - Honeypots

Análise do Ambiente

Nesta fase o ambiente é analisado e a localização de pontos de acesso e antenas é constatada. São realizadas verificações quanto ao alcance da rede através de ferramentas de análise do sinal transmitido. O objetivo é checar se a rede pode ser acessada fora dos perímetros da corporação.

Especificação e Configuração dos Equipamentos

As necessidades de segurança observadas nesta fase serão especificadas, seguidas da melhor configuração dos equipamentos. Configurações estas, onde se pode incluir características de segurança personalizadas. Pois, mesmo não sendo confiáveis se utilizadas isoladamente, constituem mais uma barreira a ser vencida quando utilizada em conjunto com os demais itens da solução 3Elos.

A especificação de soluções para as necessidades de segurança observadas será realizada em conjunto com a configuração adequada dos equipamentos.

Durante as configurações são incluídas as características de segurança disponíveis nos equipamentos. Mesmo não sendo confiáveis se utilizadas isoladamente, constituem mais um perímetro de segurança a ser vencido quando utilizada com os demais itens da Solução 3Elos.

Implementação de Criptografia

É fundamental o uso de criptografia confiável uma vez que não é possível contar com o WEP. Durante esta etapa a implementação de uma VPN na rede sem fio é realizada utilizando recursos já existentes ou utilizando soluções de mercado. Possuímos ampla experiência e profissionais certificados em firewalls comerciais ou soluções confiáveis open-source.

Autenticação Forte

Para controlar o acesso aos recursos disponibilizados através de uma rede wireless é fundamental utilizar autenticação forte. Contando com o legado do cliente observado na fase de especificação ou aplicando novas soluções, é implementado controle de acesso com tecnologias líderes e amplamente utilizadas no mercado. Certificados digitais e mecanismos de OTP por Tokens da RSA são alguns exemplos utilizados.

Monitoração

Os acessos aos Access Points instalados e a rede propriamente dita devem ser monitorados. Mesmo com a utilização de criptografia é possível, e necessário, monitorar os acessos realizados. A monitoração é seguida do envio de alertas, previamente configurados. Afinal, um acesso através de uma rede wireless corporativa à meia-noite de domingo pode não significar um funcionário dedicado.

Decoy Device - Honeypots

Para desestimular e dificultar as ações de prováveis invasores são colocados equipamentos que irão transmitir informações falsas sobre redes wireless inexistentes. A identificação da verdadeira rede wireless utilizada torna-se uma tarefa mais complexa.