Pergunte à galera de TI sobre as coisas mais importantes em Wi-Fi e espere uma mistura de respostas — alguns dirão throughput, alguns dirão latência, outros podem dizer roaming rápido ou alta capacidade, mas a maioria colocará a segurança perto do topo de suas listas. Vamos dar um passo adiante:
A segurança do Wi-Fi é facilmente a coisa mais importante no Wi-Fi.
Afinal, não importa quão rápido seja seu roaming se sua empresa sofrer uma violação de segurança. Seu roaming pode ser corrigido rapidamente. Sua reputação não pode (sem mencionar as ramificações financeiras associadas a uma violação). O Wi-Fi é frequentemente o único ou principal ponto de entrada da rede e é imperativo que seu Wi-Fi seja seguro. O que queremos dizer com seguro? Queremos dizer CIA. 😉 Continue lendo.
O que é segurança Wi-Fi
Segurança Wi-Fi é a prática de proteger sua conexão de internet sem fio de potenciais ameaças cibernéticas. Ela abrange o design da rede física, configurações e ajustes específicos de segurança, dispositivos permitidos na rede e até mesmo a maneira como os usuários se comportam ao acessar a rede. Ao incorporar métodos avançados de criptografia, manter dispositivos invasores e interferentes fora da rede e estabelecer as melhores práticas de segurança para aqueles que usam a rede, você pode garantir que apenas pessoal autorizado tenha acesso e obtenha o benefício total de suas redes Wi-Fi.
O Método de Segurança da Informação da CIA
Um modelo comum para desenvolver e testar um sistema de segurança dentro de sua rede Wi-Fi é a Tríade CIA.
- C – Confidencialidade : Impede a divulgação não autorizada de informações sensíveis
- I – Integridade : Impede modificações não autorizadas de sistemas e informações
- A – Disponibilidade : Evita a interrupção do serviço e da produtividade
A tríade da CIA oferece uma estrutura direta, mas abrangente, para avaliar a eficácia de suas medidas de segurança. Uma configuração de segurança de alto nível preenche todos os três requisitos: confidencialidade, integridade e disponibilidade. Mas ficar aquém em qualquer uma dessas áreas significa que seu sistema não está à altura.
Vamos analisar mais de perto as principais práticas recomendadas de design de Wi-Fi e manutenção contínua de rede que ajudam a garantir que sua rede tenha segurança de nível CIA.
10 práticas recomendadas de segurança Wi-Fi
1. Usando o padrão de segurança Wi-Fi correto para sua rede
Assim como os padrões IEEE Wi-Fi melhoraram e introduziram novos recursos ao longo dos anos, as melhorias de segurança impulsionaram continuamente novos níveis de criptografia. Para a maioria das redes, a criptografia é limitada pelo dispositivo menos capaz e mais importante, pois nem todos os dispositivos oferecem suporte aos padrões de criptografia de segurança mais recentes. Aqui está uma olhada nos diferentes tipos de criptografia e os motivos pelos quais você pode ou não conseguir implementar o método de criptografia mais recente e seguro:
PWP (1999)
Antigamente, usávamos a Wired Equivalent Protection (WEP) para proteger nossas redes Wi-Fi.
A criptografia era baseada no algoritmo RC4 e era facilmente atacável; leva literalmente segundos para descriptografar quadros Wi-Fi capturados e ver todo o tráfego em texto simples. Não é legal. Não é recomendado.
Associação Brasileira de Pais e Enfermeiros (ABPA) (2003)
Como o WEP não oferecia muita segurança, o WPA (Wi-Fi Protected Access) foi introduzido como uma correção temporária para o WEP enquanto o IEEE trabalhava na ratificação da emenda 802.11i, conhecida como WPA2.
A maioria dos hardwares capazes de usar WEP poderia se beneficiar de uma atualização de firmware e usar WPA, o que introduziu duas variantes de segurança Wi-Fi que ainda são usadas hoje:
- Pessoal (WPA-Personal) – proteção usando uma frase-senha
- Enterprise (WPA-Enterprise) – proteção usando um servidor de autenticação (como RADIUS)
Infelizmente, o WPA limita as taxas de dados atingíveis que seus dispositivos Wi-Fi podem usar (para 54 Mbps, usando 1 Spatial Stream), e o TKIP, o mecanismo de criptografia baseado em RC4 usado no WPA, também pode ser quebrado em segundos. Também não é legal. Também não é recomendado.
WPA2 (2004)
O WPA2, se usado corretamente, ainda pode fornecer segurança suficiente, mesmo hoje. Os tipos de segurança Pessoal e Empresarial ainda permanecem, mas a grande mudança foi migrar para a criptografia baseada em AES, que corrigiu vulnerabilidades que o RC4 sofria.
O WPA2-Personal usa uma Chave Pré-Compartilhada (PSK) para autenticação e criptografia. PSKs ainda podem ser considerados seguros, assumindo que a frase-senha seja longa e complexa o suficiente para não ser hackeada por um dicionário ou ataque de força bruta. Também tenha em mente que se o PSK for conhecido por um invasor, o tráfego capturado pelo ar pode ser descriptografado com esse PSK (então nada de escrever seu PSK na parte de trás de um teclado!).
O WPA2-Enterprise ainda é considerado seguro, especialmente se pareado com uma extensão EAP forte, como EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). O EAP-TLS requer autenticação mútua do cliente e do servidor usando certificados e, se implementado corretamente, é muito seguro.
O WPA2-Enterprise não apenas fornece criptografia forte (AES), mas também pode adicionar excelente proteção contra ataques Man-in-the-Middle (MitM), onde um criminoso secretamente intercepta e retransmite mensagens entre duas partes desavisadas.
WPA3 (2018)
O WPA3 é o mais recente padrão de segurança e agora exige recursos de segurança como Protected Management Frames (PMF, também conhecido como MFP) e melhora muito a segurança da rede pessoal ao substituir o PSK pela Autenticação Simultânea de Iguais (SAE) com base no algoritmo Diffie-Helman .
O WPA3-Personal ainda usa uma frase-senha, mas apenas para autenticação – não para criptografia. Nada muda da perspectiva do usuário; eles ainda inserem uma senha para se conectar ao Wi-Fi.
No entanto, o que mudou é que você não pode usar essa senha para descriptografar quadros Wi-Fi capturados, pois as chaves de criptografia usadas para criptografar seu tráfego não dependem mais do PSK. O SAE é usado como uma troca de chaves Diffie-Helman unidirecional, onde o tráfego criptografado simplesmente não pode ser espionado, mesmo quando um invasor tem a senha usada para se conectar à rede. Ótimo!
O WPA3-Enterprise não mudou muito em comparação ao WPA2-Enterprise. A única diferença prática é permitir uma criptografia mais forte de 192 bits. Enquanto a criptografia de 128 bits ainda é considerada muito segura, a criptografia de 192 bits é considerada de “nível militar”.
2. Usando quadros de gerenciamento protegidos (também conhecidos como PMF ou MFP)
Protected Management Frames (PMF) é um recurso de segurança Wi-Fi que protege certos quadros de gerenciamento de serem forjados ou adulterados, prevenindo ataques potenciais que podem interromper ou obter acesso não autorizado à rede sem fio. A imposição do WPA3 de usar PMF é enorme. Antes do WPA3, o PMF era opcional, e isso significava que toneladas de dispositivos Wi-Fi simplesmente não o suportavam e, portanto, a maioria das redes Wi-Fi não o tinha habilitado.
PMF, como o nome sugere, protege seus frames de gerenciamento adicionando uma verificação de integridade para validar a fonte (prevenção de spoofing) ou até mesmo criptografando alguns frames. Por que PMF é tão importante? Sem PMF, um invasor pode desautenticar todos os seus dispositivos com um único frame deauth, praticamente expulsando todos da rede Wi-Fi. Isso pode criar dois grandes problemas.
- Ataques contínuos de “desautenticação” tornam seu Wi-Fi inutilizável e indisponível.
- Tirar seus dispositivos da rede pode, ao mesmo tempo, “forçar” os clientes a se conectarem novamente aos APs de um invasor, projetados para coletar credenciais dos usuários.
O PMF pode ser um recurso de segurança poderoso na configuração de requisitos correta, mas tenha cuidado ao habilitá-lo em bandas de frequência que não sejam 6 GHz, pois o suporte a PMF era opcional em bandas legadas de 2,4 e 5 GHz e alguns dispositivos mais antigos e baratos simplesmente não conseguirão se conectar a SSIDs habilitados para PMF. Habilitar WPA3 em redes tri-band (2,4, 5 e 6 GHz) forçará o uso do PMF e pode quebrar a compatibilidade para alguns clientes Wi-Fi em bandas de frequência legadas.
3. Identificação de pontos de acesso mal configurados, desonestos e interferentes
Agora que estamos equipados com alguma teoria de segurança, vamos discutir algumas configurações incorretas comuns de AP que podem colocar a segurança da sua rede em risco e como mitigá-las.
O ideal é que duas coisas aconteçam na sua rede:
- Use padrões de segurança fortes e criptografia em todos os seus APs
- Remova todos os APs invasores e interferentes de sua localização
Protegendo seus APs : Padrões de segurança fracos e antigos (como nenhuma criptografia/aberta, WEP, WPA ou senhas fracas em redes WPA2-Personal) podem encorajar invasores a explorar sua rede. Eles podem simplesmente se conectar à sua rede e causar estragos. Os hackers também podem capturar silenciosamente quadros de Wi-Fi para então descriptografá-los e ver todas as transações em texto simples.
Removendo invasores e interferentes : qualquer ponto de acesso que esteja transmitindo de dentro de suas instalações é considerado um ponto de acesso invasor (transmitindo e conectado à sua rede com fio) ou um ponto de acesso interferente (transmitindo, mas não fazendo parte da sua rede).
APs invasores podem fornecer acesso perigosamente fácil à sua infraestrutura. Você pode ter APs invasores, como impressoras habilitadas para Wi-Fi ou smart TVs que são cabeadas em sua rede. Eles podem fornecer um ponto de entrada fácil para hackers por meio de Wi-Fi, transmitindo SSIDs abertos ou mal protegidos. Eles também aumentam a utilização do tempo de transmissão ao transmitir beacons, deixando a rede mais lenta para todos que operam no mesmo canal Wi-Fi na área. Você provavelmente deseja desabilitar o Wi-Fi neles.
APs interferentes podem se apresentar como hotspots móveis ou infraestrutura antiga que não está mais em uso, mas ainda está ligada. APs interferentes também contribuirão para maior contenção de rede ao aumentar a utilização do tempo de transmissão. O ideal é que esses APs interferentes também desapareçam.
Então, como você encontra APs fracamente protegidos, invasores e interferentes? Nossos analistas dão uma volta pelas suas instalações com um dispositivo de medição de Wi-Fi, equipado com nosso mais recente aplicativo Survey para destacar automaticamente essas vulnerabilidades.
4. Mitigando e removendo interferentes de RF indesejados
Interferências de radiofrequência são todos os dispositivos sem fio (mas não Wi-Fi) que operam nas mesmas bandas de frequência que o Wi-Fi. Dispositivos como CFTV sem fio, telefones analógicos sem fio, micro-ondas com vazamento, IoT ou BLE excessivo e detectores de movimento são apenas alguns exemplos de coisas que você pode ter perdido sem ter os dados capturados com um analisador de espectro.
5. A segurança é mais do que apenas a configuração do AP – um bom design de Wi-Fi também é essencial
Embora uma criptografia Wi-Fi forte e a minimização de pontos de acesso não autorizados sejam essenciais para manter sua rede segura, um bom design de Wi-Fi também é essencial para seu sistema de segurança de rede.
Imagine ter um Wi-Fi ruim no seu local de trabalho. Tudo é lento, o carregamento de páginas demora uma eternidade, e as transferências de arquivos, downloads, uploads e impressões são irritantemente lentos. O que é ainda pior é que toda vez que você anda pelo escritório durante uma chamada de voz (se tiver sorte o suficiente para estabelecer uma conexão de voz), seu dispositivo sai do Wi-Fi completamente e leva vários segundos para se conectar novamente. Parece familiar?
Um Wi-Fi corporativo terrível não só deixa as coisas mais lentas para todos no local de trabalho, mas também pode encorajar os funcionários a ligar seus hotspots móveis ou até mesmo trazer seus próprios roteadores Wi-Fi para o local de trabalho e tentar conectá-los a uma porta de rede próxima. Isso cria dois problemas principais:
- Mais rádios de transmissão no ambiente podem tornar o Wi-Fi corporativo, que já é lento, ainda mais lento, aumentando a densidade dos quadros de Wi-Fi (principalmente beacons) no ar, aumentando a utilização do tempo de transmissão.
- Roteadores Wi-Fi de nível doméstico podem fornecer acesso fácil à infraestrutura com fio, o que é um problema ainda maior. Idealmente, suas portas com fio são protegidas contra o atendimento de tais dispositivos.
Roaming ruim também pode apresentar um problema de segurança no qual um dispositivo perde uma conexão Wi-Fi e se junta a um “Honeypot AP”, um AP não autorizado nomeado para imitar seu SSID, geralmente para roubar suas informações. O ponto principal é que você não quer construir sua rede Wi-Fi de forma insuficiente para economizar custos, pois isso só criará mais problemas e potencialmente custará ainda mais a longo prazo.
6. Isolamento de rede de convidados
É sempre uma boa ideia usar um segmento completamente separado da rede ao fornecer conectividade Wi-Fi aos convidados. Isolar redes de convidados pode impedir acesso não autorizado a recursos sensíveis.
7. Atualizações de firmware e software
Isso pode parecer óbvio, mas é crucial garantir que sua infraestrutura de rede e clientes usem o firmware e software mais recentes. A maioria das vulnerabilidades de segurança pode ser corrigida com uma atualização simples!
8. Filtragem de endereço MAC
A filtragem de endereço Media Access Control (MAC) recebe uma menção honrosa aqui, pois não fornece realmente nenhum benefício de segurança, embora muitas pessoas pensem que sim. Endereços MAC não são criptografados na comunicação Wi-Fi, então se a filtragem de endereço MAC for o único método de limitar o acesso a uma rede Wi-Fi, um invasor pode farejar seu endereço MAC real de um quadro Wi-Fi, capturá-lo e atribuí-lo ao seu dispositivo e acessar sua rede imediatamente.
9. SSIDs ocultos
Outro equívoco sobre segurança de Wi-Fi é que esconder seus SSIDs os torna mais difíceis de atacar. Vamos acabar com esse mito: esconder SSIDs não aumenta a segurança de seu Wi-Fi de forma alguma.
Pelo contrário, SSIDs ocultos são um alvo mais fácil de atacar (afinal, o fruto proibido tem o sabor mais doce). Ocultar um nome SSID faz exatamente isso – oculta seu nome. Isso significa que o nome SSID ficará em branco na captura do quadro, mas o quadro pode ser capturado sem muitos problemas.
Tudo o que é preciso para revelar o SSID é que qualquer dispositivo tente se associar a uma rádio transmitindo o SSID oculto, pois o cliente incluirá o nome do SSID oculto em texto simples na solicitação de associação. Se isso não for suficiente, tenha em mente também que ocultar SSIDs pode afetar negativamente seu roaming, e alguns dispositivos podem nem conseguir se conectar a ele.
10. Segurança Física
Outra prática de segurança óbvia (mas importante!) é impedir que indivíduos não autorizados mexam em equipamentos de rede. Você não quer que ninguém danifique fisicamente sua infraestrutura ou puxe cabos. Você também não quer que ninguém instale sniffers passthrough, conecte pendrives suspeitos ou conecte diretamente em portas de terminal às vezes não muito seguras.
Conclusão: Leituras e observações adicionais
A segurança de Wi-Fi pode parecer um pouco assustadora (porque é!), mas não precisa ser. Tudo o que é precisa é falar com a nossa equipe, que um de nossos analistas irão te ajudar na adequação da sua rede Wi-Fi para as melhores práticas de segurança de dados.
