Segurança WLAN: Melhores práticas para segurança de redes sem fio

O que é segurança WLAN?

As ameaças à segurança cibernética da WLAN podem levar ao roubo de dados. Para evitar esse risco, as equipes de segurança implementam mecanismos para impedir tentativas de ler comunicações transmitidas ou recebidas pelo meio sem fio e coletar informações confidenciais, como informações pessoais, credenciais de login ou dados comerciais.

Os computadores podem usar vários métodos para proteger as comunicações Wi-Fi. Alguns desses métodos são genéricos e ajudam a gerenciar os riscos das comunicações com e sem fio. Esses métodos incluem mecanismos de autenticação de nível empresarial, restrição de acesso à rede corporativa usando listas de endereços de controle de acesso à mídia (MAC), serviços antivírus e de malware baseados em rede e em dispositivos e o uso de VPNs de terceiros.

No entanto, a maioria das empresas usa um protocolo de criptografia integrado. Isso força todas as comunicações Wi-Fi a criptografar seus dados antes de enviá-los e exige que o lado receptor tenha um código de descriptografia para descriptografar os dados assim que chegarem ao seu destino.

Ameaças e vulnerabilidades WLAN

As ameaças à segurança cibernética de WLAN podem levar à perda de dados, infecções por malware, ataques DDoS e outros cenários prejudiciais. Os computadores devem estar cientes de muitas ameaças e vulnerabilidades de WLAN, incluindo as seguintes:

• Falsificação de IP e MAC. Se os criminosos se conectarem com sucesso à WLAN corporativa, eles poderão usar ferramentas para personificar (ou falsificar ) dispositivos confiáveis, alterando o endereço IP de origem no cabeçalho do pacote ou manipulando o endereço MAC de um dispositivo na lista de permissões. Por sua vez, os dispositivos receptores podem aceitar comunicações falsificadas sem saber. Botnets DDoS e ataques man-in-the-middle estão entre as táticas mais comuns usadas em phishing.
• Falsificação/envenenamento de cache DNS. A falsificação de DNS é o ato de colocar um dispositivo não autorizado na WLAN para falsificar o servidor DNS usado por outros clientes conectados. Por sua vez, o servidor DNS falsificado redireciona usuários e dispositivos que tentam acessar um recurso remoto confiável, como um site, para um recurso malicioso.
• Pontos de acesso gêmeos (APs) desonestos/maus. Isso ocorre quando os criminosos implantam um AP sem fio que usa o mesmo Service Set Identifier (SSID) ou semelhante. Usuários desavisados se conectam ao dispositivo não autorizado, onde o tráfego pode ser capturado e monitorado, ou até mesmo redirecionado para destinos maliciosos.
• War driving. Quando os sinais WLAN se propagam para fora das paredes da empresa e em espaços públicos, os condutores da guerra procuram WLANs abertas ou exploráveis para usar como acesso gratuito à Internet, o que é chamado de " piggybacking " . Os maus atores também podem usar a condução da guerra por motivos mais nefastos, como tentar encontrar e roubar dados corporativos confidenciais.

Como os padrões de segurança WLAN evoluíram ao longo do tempo

As primeiras versões do Wi-Fi focavam mais na conectividade do que na segurança. Como resultado, os protocolos de segurança WLAN foram projetados para fornecer acesso seguro.

WEP

O padrão Wired Equivalent Privacy (WEP), introduzido no final da década de 1990, foi a primeira tentativa de impedir que hackers acessassem o tráfego sem fio, mas apresentava falhas fatais. O WEP dependia exclusivamente de chaves pré-compartilhadas (PSK) para autenticar dispositivos. No entanto, os usuários não trocavam PSKs com frequência suficiente e os hackers descobriram que poderiam usar ferramentas simples para quebrar a chave criptografada estaticamente em poucos minutos.

Atualmente, o WEP é considerado extremamente inseguro e deve ser removido do uso corporativo.

WPA

Em 2003, a Wi-Fi Alliance introduziu um novo padrão, Wi-Fi Protected Access (WPA). O WPA ofereceu um mecanismo de criptografia mais seguro. O WPA inicial usa uma base de criptografia de chave por pacote mais forte, chamada Temporal Key Integrity Protocol (TKIP).

O WPA2, lançado em 2004, facilitou o gerenciamento de configurações e adicionou Advanced Encryption Standard (AES) para maior proteção de segurança.

O WPA3 usa mecanismos de criptografia ainda mais fortes. No entanto, como foi lançado em 2018, muitos dispositivos mais antigos não suportam WPA3. Como resultado, as organizações frequentemente implementam uma combinação dos três protocolos WPA para proteger suas WLANs corporativas.

Os computadores normalmente configuram o WPA usando um dos dois métodos de distribuição de chave de autenticação:

1. WPA-Personal , também conhecido como WPA-PSK, é baseado em uma senha compartilhada que os usuários usam para obter acesso à rede. Como esta técnica de autenticação é compartilhada, ela é considerada menos segura que o WPA-Enterprise.
2. WPA-Enterprise , também conhecido como WPA Extensible Authentication Protocol (WPA-EAP), usa RADIUS 802.1x para se conectar a um banco de dados de usuários contendo nomes de usuário e senhas individuais. Com WPA-EAP, cada usuário deve inserir um nome de usuário válido e uma senha associada antes de obter acesso à WLAN. Este método é considerado seguro porque as senhas não são compartilhadas entre usuários e dispositivos.

Algoritmos criptográficos WLAN

WLANs de nível empresarial podem usar diferentes tipos de padrões de segurança sem fio. O algoritmo de segurança criptográfica varia dependendo do protocolo de segurança utilizado. Este é um conceito importante a ser entendido, uma vez que o algoritmo de segurança é o que protege o acesso aos dados transmitidos e recebidos — e a eficácia dessa proteção difere dependendo da capacidade de um malfeitor de quebrar o algoritmo de segurança.

Os algoritmos de segurança a seguir são os mais comuns nos ambientes WLAN atuais.

WEP

Baseado no Rivest Cipher 4 (RC4), o algoritmo de criptografia WEP pode usar uma chave de 40, 104 ou 232 bits de comprimento para criptografar dados enviados por Wi-Fi. O problema com o WEP é que essas chaves são de natureza estática e devem ser alteradas manualmente. Se uma chave não for atualizada regularmente, os criminosos poderão descriptografá-la em um tempo relativamente curto. Portanto, o WEP não é recomendado para uso empresarial.

TKIP

Também baseado no RC4, o TKIP usa o mesmo fluxo de criptografia do WEP. No entanto, a principal diferença com o TKIP é que o algoritmo altera automaticamente a chave ao longo do tempo e comunica essas alterações ao dispositivo remetente e receptor. Além disso, o tamanho da chave aumenta para 128 bits. Esses dois fatores eliminam grande parte do risco encontrado no WEP, já que a quebra da chave de criptografia leva tempo. Em teoria, quando um malfeitor quebra a chave de 128 bits e tenta usá-la para roubar dados, o algoritmo já mudou e mudou para uma nova chave.

O componente de rechaveamento do TKIP cria novas chaves de criptografia compartilhadas sempre que 10.000 pacotes são enviados e combina o uso de múltiplas chaves por pacote. Além disso, o TKIP implementa um mecanismo de hashing de verificação de integridade criptográfica nos pacotes, para que a carga útil dos dados não seja enviada em texto simples, como é o caso do WEP. Isso ajuda a proteger contra ataques de phishing.

Do ponto de vista da WLAN, o TKIP é usado na implementação do padrão de segurança WPA.

CCMP

Indo além da chave compartilhada e da rotação de chave compartilhada, conforme usado com WEP e WPA, respectivamente, o algoritmo CCMP (Counter Mode Code Message Authentication Protocol) com encadeamento de blocos de cifra é baseado em AES, que é baseado na cifra de bloco simétrico de Rijndael.

O CCMP usa chaves de criptografia longas de 128 bits e tamanhos de bloco de 128 bits. Embora tanto o TKIP quanto o CCMP usem tecnicamente chaves de 128 bits, o TKIP combina a chave raiz com o vetor de inicialização. Em contraste, o CCMP usa 128 bits completos para criar a chave. Além disso, o CCMP exige controles para garantir que apenas dispositivos receptores autorizados possam descriptografar os dados, ao contrário do método TKIP de usar controles de verificação de integridade de mensagens menos seguros.

CCMP é usado com os padrões de criptografia WPA2 e WPA3.

Lista de verificação de segurança WLAN

Ao pesquisar como proteger WLANs, as equipes de rede e segurança podem usar a seguinte lista de verificação para garantir que cobrem todas as bases:

• Pesquise dispositivos de produção e determine o nível mais alto de criptografia possível.
• Se for necessário usar padrões de segurança menos seguros, determine se esses dispositivos menos seguros podem operar em uma rede sem fio segmentada logicamente usando SSIDs separados.
• Quando possível, utilize métodos de autenticação 802.1x, em vez de PSK.
• Forneça acesso de convidado que permita acesso somente à internet.
• Implemente ferramentas de segurança baseadas em rede e dispositivos, como firewalls, sistemas de prevenção de invasões e prevenção de antivírus/malware.
• Execute manutenção regular de patches de segurança em controladores sem fio e pontos de acesso.
• APs Wi-Fi fisicamente seguros para evitar adulterações.
• Execute varreduras de WLAN sem fio para identificar APs não autorizados.
• Crie políticas de uso de WLAN para ajudar a impor o uso adequado e evitar o compartilhamento de senhas.

Dicas de práticas recomendadas de segurança WLAN

As empresas devem planejar e executar cuidadosamente uma estratégia consistente para proteger suas WLANs contra perda de dados e acesso não autorizado. Embora as opções finais de segurança dependam do nível de proteção necessário e do orçamento disponível, as equipes podem seguir algumas dicas e técnicas importantes.

Tal como acontece com qualquer problema de segurança, certifique-se de que as suas políticas de segurança de TI definem os requisitos de acesso: Quem precisa de acesso a quê e quando? Inclua também funcionários remotos e em trânsito.

Outras melhorias na prática incluem o seguinte:

• Segmentação de usuários e dispositivos Wi-Fi por SSID. Departamentos e dispositivos usam WLANs de maneiras diferentes. Portanto, as equipes não conseguem proteger todos os dispositivos usando o mesmo padrão. Por exemplo, uma maneira de proteger os dispositivos que suportam WPA-Enterprise daqueles que suportam apenas WPA-Personal é segmentar logicamente os dispositivos legados em um SSID separado. Depois de segmentadas, as equipes podem ajustar as políticas de acesso a endpoints menos seguros.
• Wi-Fi para hóspedes. Configure um SSID Wi-Fi de convidado separado para os usuários e dispositivos que requerem apenas acesso à Internet. As políticas de acesso podem impedir que esses dispositivos se comuniquem com qualquer usuário ou dispositivo na rede corporativa, ao mesmo tempo em que entregam com segurança o tráfego da Internet além da borda da rede.
• Evite que a intensidade do sinal se espalhe para áreas inseguras. Os APs instalados perto de paredes externas devem ter seus níveis de potência cuidadosamente configurados para reduzir qualquer vazamento em estacionamentos próximos ou praças públicas. Isso ajuda a proteger contra interferência externa sem fio e reduz a chance de um usuário não autorizado se conectar à rede com êxito.
• Detecção de APs não autorizados. A maioria das plataformas WLAN de nível empresarial inclui ferramentas que monitoram as faixas de frequência sem fio 802.11 para identificar pontos de acesso não autorizados –ou aqueles que potencialmente falsificam SSIDs corporativos.
• Autenticação 802.1x versus PSK. Sempre que possível, exija que os usuários e dispositivos se autentiquem usando 802.1x, em vez de PSK. Isto reduz a necessidade de alterar manualmente os PSKs várias vezes por ano. Também evita o compartilhamento de PSK, o que pode levar hackers a usar Wi-Fi para obter acesso não autorizado à rede corporativa.
• Configurações de porta do switch LAN de rede. Configure as portas do switch que conectam os APs sem fio à LAN corporativa com a segurança em mente. Coloque endereços IP de gerenciamento de AP em uma LAN virtual segmentada, permitindo que apenas VLANs específicas se conectem aos APs. Use técnicas de segurança de porta de endereço MAC estático ou fixo para proteger contra pessoas que colocam um AP off-line e conectam um dispositivo não autorizado à LAN.
• Uso de ferramentas de segurança externas que protegem ainda mais as WLANs. Complemente com outras ferramentas para proteger usuários, dispositivos e dados transportados pela WLAN. Os exemplos incluem o seguinte:
• controle de acesso à rede ou plataformas unificadas de gerenciamento de endpoints para fornecer controles de acesso granulares;
• Tecnologias VPN para proteger quando dados confidenciais são transmitidos ou recebidos através de conexões Wi-Fi inseguras; e
• Plataformas de detecção e resposta de rede alimentadas por IA que podem monitorar fluxos de tráfego e alertar a equipe quando usuários, dispositivos ou fluxos de tráfego se desviam do comportamento normal, um sinal de que algum tipo de comprometimento da WLAN pode estar ocorrendo.

Outras práticas recomendadas de segurança padrão também se aplicam, incluindo as seguintes:

• Use firewall e antimalware.
• Garanta acesso remoto seguro via VPN, Zero Trust Network Access ou Secure Access Service Edge.
• Mantenha o software corrigido e atualizado.
• Altere as credenciais padrão.
• Eduque os usuários sobre segurança.
• Mantenha-se atualizado com as ameaças de segurança atuais.