Introduo Clique aqui para ver a segunda parte Depois de entrar em detalhes sobre os padres, antenas, conectores, alcance,

encriptao, etc. vamos parte "prtica", estudando sobre a configurao da rede. Na grande maioria dos casos, configurar a rede bastante simples, j que os pontos de acesso so produtos de consumo e a idia justamente que eles possam ser configurados por qualquer um, evitando, assim, chamadas ao departamento de suporte do fabricante e devolues de produtos por consumidores que no conseguiram descobrir como configur-los. Apesar disso, existem muitos detalhes e opes escondidas. Vamos ento explorar mais a fundo as opes e entender o porqu de cada uma. Ao contrrio de um hub, que um dispositivo "burro", que trabalha apenas no nvel fsico e dispensa configurao, um ponto de acesso um dispositivo muito mais complexo, que implementa sistemas de criptografia, valida o acesso dos clientes (atravs de passphrases, listas de endereos MAC e assim por diante) e pode ser configurado de diversas formas diferentes, sem falar dos pontos de acesso com funes de servidor de impresso e servidor de arquivos, onde a complexidade ainda maior. Para coordenar tudo isso, o ponto de acesso precisa de um firmware relativamente complexo, que pode ser desde algum sistema proprietrio para sistemas embarcados, como o VXworks, at uma verso compacta do Linux, como no caso do Linksys WRT54GL. Independentemente do sistema usado, a configurao do ponto de acesso feita atravs de uma interface web. Alguns modelos oferecem tambm acesso via telnet ou atravs um software cliente, instalado no PC, mas estas formas alternativas de configurao nunca fizeram muito sucesso, j que o conceito de interface web mais familiar a todos. Acessando o AP O primeiro passo localizar o endereo IP, juntamente com o login e a senha padro do ponto de acesso, que so informados nas primeiras pginas do manual, ou em uma etiqueta colada no AP. Uma dica que muitos pontos de acesso so configurados por padro para obter um endereo via DHCP, de forma que o endereo padro s usado se no houver nenhum servidor DHCP disponvel na rede, ou se o AP for diretamente ligado ao PC para a configurao, em vez de ser ligado no switch da rede. Ao comprar um ponto de acesso de segunda mo, aproveite para reset-lo, de forma a ter certeza de que ele est usando as configuraes padro. Se for o caso, voc pode usar o nmap para descobrir o endereo IP do AP na base da fora bruta. Para isso, instale o pacote "nmap" usando o gerenciador de pacotes (no Linux), ou baixe-o no http://insecure.org/nmap/download.html, onde est disponvel tambm uma verso Windows, que pode ser usada pelo prompt do DOS. Com o programa instalado, use o comando "nmap -sS" no terminal, como root (no Linux), ou usando uma conta com privilgios administrativos (no Windows), seguido da faixa de endereos a ser pesquisada, como em: # nmap -sS 192.168.0.1-254 # nmap -sS 192.168.1.1-254 # nmap -sS 10.0.0.1-254

O teste do nmap mostra todos os dispositivos com portas abertas, incluindo no apenas os PCs da rede, mas tambm todo tipo de dispositivos com interfaces de rede, como pontos de acesso, vdeo-games, servidores de arquivos, modems ADSL e assim por diante. O teste em cada faixa de endereos demora cerca de 10 segundos. Testando as faixas de endereos mais usadas, voc logo chega ao ponto de acesso, como em:

Interesting ports on 192.168.1.187: Not shown: 1679 closed ports PORT STATE SERVICE 80/tcp open http MAC Address: 00:18:4D:D7:D7:D0 (Netgear)

O endereo MAC da Netgear no deixa dvidas de que esse o meu ponto de acesso, que est usando um endereo obtido via DHCP. Se o ponto de acesso estiver utilizando um endereo fora da faixa usada na sua rede, voc precisa apenas alterar o endereo IP do PC, de forma que ele utilize um endereo dentro da mesma faixa do ponto de acesso. Outra opo, mais prtica, adicionar um alias, de forma que seu PC mantenha a configurao atual e passe apenas a usar um IP secundrio, dentro da faixa desejada. No Linux, voc pode adicionar o alias usando o prprio comando ifconfig, adicionando um ":1" (o 1 o nmero do alias, voc pode adicionar vrios) ao nome da interface, como em: # ifconfig eth0:1 192.168.0.23 No Windows, a configurao vai dentro do menu "Avanado", dentro das propriedades do TCP/IP:

Vamos ento configurao. Vou utilizar como exemplo um NetGear WG602v3, um ponto de acesso 802.11g "simples" e um Encore ENHWI-G, um modelo de baixo custo que inclui funes de roteador. Vou aproveitar para incluir tambm opes que podem ser encontradas em outros pontos de acesso, de forma que voc tenha uma boa base para configurar qualquer modelo.

Opes bsicas O primeiro passo ajustar os endereos de rede do AP (desativando o cliente DHCP, caso a opes esteja disponvel), de forma que ele passe a utilizar o endereo IP definitivo (voc vai precisar reabrir a conexo no novo endereo). Veja que em ambos os screenshots existe a opo de definir um nome de rede para o AP, que no tem relao com o SSID da rede, que definido na seo "wireless":

Voc pode notar que o AP da Encore (o screenshot direita) oferece um servidor DHCP, o que norma nos roteadores wireless. No meu caso deixo a opo desativada, uma vez que j tenho um servidor DHCP, instalado no servidor Linux da rede. O "Spanning Tree Protocol", disponvel em alguns APs e roteadores, um protocolo de controle, que permite que voc ligue o roteador a duas ou mais portas do switch da rede simultaneamente, para fins de redundncia. Normalmente, isso criaria um loop, que geraria um volume absurdo de trfego na rede, reduzindo drasticamente a velocidade, ou derrubando-a completamente, mas os dispositivos que suportam o protocolo Spanning Tree so capazes de detectar o link duplicado e desativar uma das conexes, deixando-a em stand-by para o caso de falha na primeira. Como voc pode imaginar, esta uma opo bem especfica, mas voc pode deix-la ativa, j que ela no tem efeitos colaterais. No caso dos roteadores wireless, voc tem disponveis tambm opes relacionadas conexo com a web. O link vai ento na porta "WAN", enquanto os demais PCs da rede so ligados s portas do switch integrado. O ponto de acesso faz o papel que seria executado por um PC com duas placas de rede, compartilhando a conexo via NAT. No caso do ENHWI-G, a configurao vai no "Main > WAN":

Ao usar uma conexo via cabo, o endereo obtido automaticamente via DHCP. O servidor remoto libera o acesso apenas para um endereo MAC especfico (o da placa de rede do PC), que cadastrado ao assinar o servio, por isso geralmente oferecida a opo de especificar manualmente o endereo MAC que o roteador usar para se conectar. Isso permite que voc falseie o endereo MAC de conexo ao substituir o PC pelo roteador. Ao usar um modem ADSL, voc poderia tanto configur-lo (modem) como roteador e simplesmente configurar o AP para re-compartilhar a conexo quanto configur-lo como bridge e deixar que o prprio AP efetue a conexo via PPPoE e a compartilhe com os clientes da rede. A opo "Dynamic DNS" que aparece no segundo screenshot um extra, que permite que o ponto de acesso faa a atualizao de um domnio virtual registrado em um dos servios suportados, a mesma funo oferecida por muitos modems ADSL. Funes adicionais, como essa, so uma forma que os fabricantes encontram para tentar diferenciar seus produtos, j que o mercado de equipamentos de rede incrivelmente concorrido. Temos ainda roteadores que alm de compartilharem a conexo, incorporam um modem ADSL, ou mesmo um modem 3G, que permite compartilhar uma conexo EDGE, UTMS ou EVDO (via celular) entre os micros da rede. Parmetros da rede Continuando, temos a configurao dos parmetros da rede wireless, que , afinal, a principal funo do ponto de acesso. Normalmente, ela dividida em duas sees, uma com as configuraes mais bsicas e uma seo "avanada", contendo as demais opes. Vamos comear pelas opes comumente encontradas na seo bsica:

SSID: Tudo comea com o SSID, o "nome" da rede, que permite que diferentes pontos de acesso dentro da mesma rea de cobertura entendam que fazem parte de redes diferentes. Todo ponto de acesso vem com um SSID padro, como "Netgear". importante modific-lo (at por uma questo de segurana), j que os SSIDs default so bem conhecidos e a presena de um AP com um deles incentiva ataques, indicando que o dono pode ter deixado-o com as configuraes default. A sigla SSID abreviao de "Service Set ID". Muitos fabricantes preferem usar o termo "ESSID" (Extended Service Set ID), de forma que os dois termos acabam sendo usados de forma intercambivel. SSID Broadcast: Em seguida temos a opo "SSID Broadcast", que define se o AP deve divulgar o SSID da rede, permitindo que a rede aparea na lista das redes disponveis, ou se ele deve esconder a informao, como uma tentativa de tornar a rede mais difcil de detectar e assim desestimular tentativas de acesso no-autorizado. Como comentei anteriormente, esconder o SSID no muito efetivo para melhorar a segurana, pois o SSID includo nos pacotes transmitidos pelos clientes, de forma que facilmente descoberto por ferramentas de auditoria, como o Kismet. Esconder o SSID pode ajudar a afastar curiosos, mas no ajuda contra ataques mais elaborados. Modo de transmisso: A opo "Mode" (quando disponvel) permite definir se o ponto de acesso operar em modo dual, atendendo clientes 802.11b e 802.11g (b and g), ou se ele ficar limitado a um nico padro (g only). No caso dos APs 802.11n, voc tem a mesma opo, mas pode escolher entre atender apenas clientes 802.11n ou atender tambm os 802.11b/g. Misturar clientes de dois padres diferentes na mesma rede invariavelmente reduz a velocidade de transmisso pois, devido ao uso do meio de transmisso compartilhado (o ar), o ponto de acesso forado a efetivamente reduzir a taxa de transmisso ao atender os clientes mais lentos, o que pode ser um problema grave em redes

congestionadas. Se voc possui apenas clientes 802.11g, ou apenas 802.11n na rede, manter a compatibilidade com o padro antigo apenas atrapalha. A principal dica que ao atualizar para o 802.11n voc pode manter o ponto de acesso antigo, utilizando um SSID diferente e operando em outro canal. Com isso, o AP 802.11n pode ser configurado em modo "n only", trabalhando sem perda de desempenho. Taxa de transmisso: Continuando, temos a opo "Data Rate", "TX Rate" ou simplesmente "Rate", que permite especificar uma taxa de transmisso fixa. Por padro o ponto de acesso varia a taxa de transmisso (opo "Best", ou "Auto") conforme a qualidade do sinal, variando (nos pontos de acesso 802.11g) entre 54 megabits e 1 megabit. Em uma rede domstica, onde voc disponha de boa cobertura em todos os ambientes, travar a taxa de transmisso do ponto de acesso em 54 megabits uma boa forma de reduzir o alcance efetivo da rede, reduzindo a possibilidade de ataques, j que, como vimos, muito difcil obter um sinal forte o suficiente para manter uma conexo de 54 megabits distncia. Por outro lado, ao criar um link de longa distncia, voc pode fixar a velocidade em apenas 1 ou 2 megabits, de forma a tornar o link mais estvel, evitando que o ponto de acesso perca tempo tentando negociar taxas de transmisso mais altas, que resultaro em taxas de erro mais elevadas. Potncia de transmisso: Outra opo que pode ser usada para reduzir o alcance a "Antenna Transmit Power" (ou "Output Power"), que ajusta a potncia usada pelo transmissor. Quando presente, ela permite reduzir a potncia de transmisso para at 1/8 do original, limitando drasticamente o alcance do sinal. Esta a melhor defesa contra ataques, j que sem sinal impossvel invadir a rede em primeiro lugar. O problema que com um sinal mais fraco a rede fica mais vulnervel a interferncias e voc passa a ter mais dificuldade em obter um sinal estvel nos pontos mais afastados do local, de forma que esta opo no muito popular. Canal: Em seguida temos a configurao do canal. Voc pode simplesmente escolher um canal aleatrio, testando outro depois caso tenha problemas de interferncia, ou fazer um trabalho mais cuidadoso, usando o Netstumbler ou outro detector de redes para verificar quais so os canais usados nas redes prximas e a partir da escolher a canal mais limpo. A maioria dos pontos de acesso segue o padro dos EUA, liberando apenas o uso dos canais de 1 a 11, mas em alguns, voc pode escolher o pas, o que permite destravar os os canais 12 e 13, permitidos aqui no Brasil. Eles so mais limpos, j que poucas redes os utilizam, mas para us-los voc precisar tambm de placas com firmwares que permitam o uso dos canais, caso contrrio os clientes no conseguiro se conectar rede. Opes avanadas Depois do "arroz com feijo", temos um conjunto de opes mais exticas, normalmente agrupadas em uma seo "advanced", escondida em algum canto da configurao. Obter informaes sobre elas difcil e os nomes so pouco descritivos, o que acentua o problema. Vamos a elas:

Beacon Interval: O beacon um frame de sincronismo enviado periodicamente pelo ponto de acesso. Ele tem a funo de avisar os clientes de que a rede est presente, avisar sobre frames gravados no buffer do access point (aguardando transmisso) e tambm sincronizar a transmisso dos dados. Por default, o beacon transmitido a cada 100 milisegundos, mas na maioria dos pontos de acesso possvel especificar qualquer valor entre 10 e 1000 milisegundos. O principal efeito prtico sobre o desempenho da rede que, ao usar algum sistema de gerenciamento de energia para as placas wireless nos clientes (sobretudo no caso dos notebooks, onde o gerenciamento de energia quase sempre usado por padro), o beacon faz com que a placa acorde periodicamente, para verificar se o ponto de acesso tem dados a transmitir. Se o beacon mais freqente, a latncia da transmisso ser menor, j que os dados ficaro menos tempo parados no buffer do access point, mas em compensao a placa na estao consumir mais energia (j que precisar "acordar" com maior freqncia), o que chega a reduzir em dois ou trs minutos a autonomia de um notebook. Como o beacon tambm consome tempo, que poderia ser usado para transmitir dados, um intervalo muito curto tambm reduz sutilmente a taxa de transmisso da rede. O intervalo de 100 ms usado por padro um bom custo/benefcio, mas ao usar a rede wireless para jogos, ou qualquer atividade onde o tempo de latncia seja um fator essencial, reduzir o tempo para apenas 20 ms oferecer melhores resultados. Um intervalo curto tambm pode ajudar a melhorar a estabilidade em ambientes com muito rudo ou no caso de links de longa distncia. DTIM Interval (DTIM Period): O DTIM (delivery traffic indication message) tem efeito sobre a transmisso de pacotes multicast (transmitidos simultaneamente a vrias estaes), indicando o nmero de beacons que o ponto de acesso aguarda antes de transmitir pacotes de multicast agendados. A opo aceita valores entre 1 e 255, sendo que o default na maioria APs 1. Quanto maior o valor, menor a prioridade dos pacotes de multicast. Calcule que se o beacon transmitido a cada 100 ms, um valor "10" faria com que os pacotes de multicast fossem transmitidos apenas uma vez a cada segundo. O uso de pacotes multicast permite que vrios clientes recebam o mesmo stream de vdeo atravs da rede wireless, por exemplo, mas este ainda no um recurso muito explorado pelos softwares, de forma que essa opo acaba no tendo muito efeito sobre a rede. Use o valor "1" para que os pacotes multicast sejam transmitidos rapidamente, caso usados. Preamble Type: O prembulo um tempo de espera e sincronismo que precede a transmisso de cada frame. Ele importante para a confiabilidade de transmisso, evitando diversos tipos de problemas, mas em compensao reduz levemente a taxa de transmisso, j que durante o prembulo no so transmitidos dados. Esta opo permite definir sua durao. Usando o prembulo longo (long), o tempo de espera de 192 microssegundos, enquanto ao utilizar o prembulo curto (short) o tempo reduzido para apenas 96 microssegundos, resultando em um pequeno ganho de desempenho, da ordem de 2%. De uma forma geral, usar o prembulo longo reduz o volume de erros em ambientes com muito rudo, ou com sinal fraco, resultando em uma conexo mais estvel, enquanto o prembulo curto resulta em um melhor desempenho quando o sinal est bom, embora em ambos os casos a diferena seja pequena. A principal observao que algumas placas 802.11b antigas podem ter dificuldades em receber as transmisses usando o prembulo curto. Muitos pontos de acesso oferecem tambm a opo "mix", ou "mixed", onde o AP mistura frames com o prembulo curto e longo, dando preferncia a um ou outro tipo, de acordo com o volume de erros e outras informaes coletadas durante cada transferncia.

Fragmentation Threshold (Fragmentation Length): Esta opo determina o tamanho mximo de frame que ser transmitido pelo ponto de acesso. Qualquer pacote maior do que o valor definido ser fragmentado e enviado em frames separados. O valor default dessa opo 2346 bytes (o que desativa a fragmentao de pacotes, reduzindo o overhead e garantindo a melhor taxa de transmisso possvel), mas possvel reduzir o valor para at 256 bytes. O problema que frames maiores resultam em mais erros de transmisso quando h interferncia, ou quando o sinal est fraco. Nessas situaes, reduzir o threshold para 1024 ou mesmo 512 bytes torna a transmisso mais estvel (j que reduz o volume de frames corrompidos e torna as retransmisses mais rpidas), mas, em compensao, reduz a taxa mxima de transmisso da rede. importante enfatizar que ajustar esta opo no ponto de acesso ajusta a fragmentao apenas para as transmisses originadas dele, as estaes precisam ser configuradas de forma independente (veja a seguir). RTS Threshold: Por utilizarem um meio de transmisso compartilhado, as redes wireless so susceptveis a colises, da mesma forma que as antigas redes com cabo coaxial. As colises fazem com que os frames transmitidos simultaneamente sejam perdidos e as estaes precisem esperar um tempo determinado antes de poderem recomear as transmisses. Para amenizar o problema, antes de transmitir as estaes verificam se existem outras transmisses acontecendo e comeam a transmitir apenas se o caminho estiver livre, recurso batizado de "carrier sense". O problema que em uma rede wireless, nem sempre as estaes se enxergam mutuamente, j que as estaes ficam espalhadas em uma grande rea em torno do ponto de acesso. A estao A pode ento ouvir as transmisses da estao B, que est prxima, mas no da estao C, que est afastada na outra direo. Como ambas tm contato com o ponto de acesso, a transmisso de dados da estao A para a C funciona perfeitamente, mas o carrier sense deixa de funcionar (j que a estao A no tem como saber quando a estao C est transmitindo e vice-versa), o que causa o aparecimento de colises, problema que cresce exponencialmente conforme aumenta o trfego na rede. Para reduzir o problema, o padro 802.11 implementa um segundo sistema de controle de colises, o RTS/CTS, que consiste em um processo de verificao, onde o cliente envia um frame RTS (Request to Send), e aguarda o recebimento de um frame CTS (Clear to Send) antes de comear a transmitir. O frame CTS uma "autorizao", enviada pelo receptor, que avisa as demais estaes que uma transmisso est prestes a ser iniciada e que qualquer transmisso deve ser adiada. Como todas as estaes tm contato com o ponto de acesso, todas recebem frames CTS enviados por ele e sabem que devem esperar sua vez antes de transmitir qualquer coisa. O uso do RTS/CTS praticamente elimina o problema de colises, mas, em compensao, reduz a taxa de transferncia da rede, j que passa a ser necessrio transmitir dois frames adicionais para cada frame de dados. Devido a isso, o RTS/CTS usado apenas em frames grandes, que demoram mais para serem transmitidos (e so por isso mais susceptveis a colises). Frames pequenos continuam sendo transmitidos diretamente, reduzindo o overhead. Como voc pode imaginar, isso faz com que colises possam ocorrer durante a transmisso dos frames pequenos, mas na prtica este acaba sendo o melhor custo-benefcio. A opo RTS Threshold permite justamente definir a partir de que tamanho de frame o sistema usado. Por default, o tamanho mximo de frame (definido na opo Fragmentation Threshold) de 2346 bytes e o RTS Threshold de 2347 bytes. Esta uma forma polida de desativar o recurso, j que se o RTS Threshold maior do que o tamanho mximo dos frames, significa que a regra nunca ser aplicada. Para ativar o RTS/CTS, voc deve alterar a configurao, usando um valor mais baixo na opo RTS Threshold do que na opo Fragmentation Threshold. Com isso, os frames podem continuar tendo at 2346 bytes, mas passa a ser necessrio solicitar a autorizao ao transmitir frames maiores do que 512 bytes, por exemplo.

Em redes com muitos clientes, sobretudo em ambientes espaosos, onde os clientes ficam distantes entre si, o uso de um RTS Threshold de 512 bytes pode aumentar a taxa de transferncia da rede (alm de tornar a transmisso mais estvel), j que o ganho pela reduo no nmero de colises costuma ser maior do que a perda introduzida pelo processo de autorizao. Por outro lado, em uma rede domstica, com poucos clientes, reduzir o valor vai servir apenas para reduzir o desempenho da rede. A pegadinha que ativar o RTS/CTS no ponto de acesso no resolve o problema, pois faz com que ele (ponto de acesso) passe a pedir autorizao antes de transmitir, em vez do contrrio. Para que o TRS/CTS seja efetivo, voc precisa ajustar o parmetro na configurao das estaes e no do ponto de acesso. No Windows, voc encontra as opes dentro da configurao avanada da conexo wireless (Painel de Controle > Conexes de rede > Conexo de rede sem fio > propriedades > Configurar > Avanado). Se voc estiver usando Windows em portugus, a opo RTS Threshold aparece como "Limiar de RTS". No mesmo menu, voc pode ajustar tambm o Fragmentation Threshold (Limiar de fragmentao) para a estao. No Linux os dois parmetros so ajustados atravs do comando "iwconfig" usando, respectivamente, as opes "rts" e "frag". Os comandos "iwconfig eth1 frag 1024" e "iwconfig eth1 rts 512" que aparecem no screenshot ajustam o Fragmentation Threshold da estao para 1024 bits e o RTS Threshold para 512 bits. Os comandos do iwconfig no so permanentes, de forma que devem ser adicionados a algum dos scripts de inicializao para que sejam executados a cada boot:

Em uma rede com muitos micros impossvel ajustar o RTS Threshold em todos, mas ajust-lo em pelo menos algumas das estaes j vai reduzir bastante as colises na rede. Como o ganho (ou perda) varia de acordo com o trfego da rede, voc s descobre o efeito sobre a sua rede ao testar na prtica. Ajustar o RTS Threshold no ponto de acesso, por sua vez, tem efeito apenas ao utilizar vrios pontos de acesso ou repetidores, ou ao configurar o AP em modo bridge, como cliente de outro ponto de acesso. Se ele est sozinho na rede, ajustar o RTS Threshold servir apenas para aumentar o overhead da rede. WMM Support: O WMM (Wireless Multimedia, ou Wi-Fi Multimedia) um sistema QoS para redes wireless, que prioriza alguns tipos de trfego, sobretudo udio, vdeo e VoIP, fazendo com que eles tenham prioridade sobre outros tipos de dados (como transferncias de grandes arquivos). A idia que um pouco de latncia no vai afetar a transmisso de um ISO de 700 MB, mas por outro lado poderia atrapalhar bastante enquanto estivesse conversando no Skype ou assistindo um filme atravs da rede por exemplo. Alm de manter a opo ativa no ponto de acesso, necessrio que os clientes tambm ofeream suporte ao WMM para que o recurso seja efetivamente usado. A maioria das placas 802.11g e praticamente todas as 802.11n oferecem suporte ao WMM, de forma que ele automaticamente usado quando ativado na configurao do AP. Modo Cliente: Muitos pontos de acesso podem ser configurados como clientes de outros pontos de acesso, passando a trabalhar como bridges. Eles so uma opo para ligar um PC rede wireless sem precisar instalar uma placa wireless. Configurando o ponto de acesso como cliente e especificando as configuraes da rede, ele se conecta ao ponto de acesso principal e disponibiliza o sinal na porta Ethernet, de forma que basta lig-lo ao PC atravs de um cabo cross-over para que ele ganhe acesso rede. Caso o ponto de acesso seja conectado a um switch, ento todos os micros ligados a ele ganham acesso, o que permite usar o bridge para combinar duas redes cabeadas usando o sinal wireless. A principal vantagem de utilizar um access point configurado como bridge/cliente em vez de simplesmente comprar uma placa wireless a qualidade do sinal, que normalmente muito melhor no ponto de acesso, j que ele pode ficar sobre a mesa ou prximo da janela, em uma posio com menos obstculos atenuando o sinal. Alm disso, a instalao mais simples (j que basta ligar na placa de rede) e os pontos de acesso mais baratos custam muitas vezes quase o mesmo que uma (boa) placa wireless. A principal observao que apenas alguns modelos de pontos de acesso suportam o modo cliente, de forma que indispensvel fazer uma pesquisa rpida antes de comprar. Ao configurar, procure pela opo "Client Mode". Depois

de ativada a opo, configure o AP para utilizar o mesmo SSID e a mesma chave de encriptao ou passphrase do ponto principal, para que ele se associe a ele.

Segurana Continuando, temos a escolha do padro de encriptao e da passphrase da rede. No incio das redes wireless, era comum a idia de criar redes comunitrias, permitindo que os vizinhos e outros que estivessem pelas redondezas pudessem acessar a web, sem falar de muitos que simplesmente deixavam a rede aberta, deixando o AP com as configuraes padro. A oferta de redes abertas fez com que surgisse um grande volume de pessoas interessadas em ganhar acesso a elas, seja para simplesmente poder navegar de graa, seja para roubar dados, enviar spam e outros abusos. Junto com eles, vieram tambm alguns que comearam a jogar do outro lado, criando redes abertas com o objetivo de roubar senhas e dados bancrios dos incautos que navegassem atravs delas. Com isso, a segurana em redes wireless passou a ser um assunto mais bem difundido, fazendo com que as redes abertas se tornassem um fenmeno relativamente raro. Com exceo de alguns pontos de acesso 802.11b realmente antigos, quase todos os modelos em uso suportam pelo menos a encriptao via WPA-PSK com encriptao via TKIP, de forma que este o denominador comum hoje em dia. Embora o TKIP seja baseado no algoritmo RC4, o mesmo usado no WEP, o uso de chaves rotativas faz com que ele seja razoavelmente seguro. O principal cuidado gerar uma boa passphrase, de preferncia com pelo menos 20 caracteres, de forma a evitar ataques de fora bruta. Do ponto de vista da segurana, usar o WPA2 desejvel, j que ele utiliza o AES, um sistema de criptografia muito mais seguro. O maior problema que muitas placas antigas no suportam o WPA2, sem falar da falta de suporte por parte de sistemas operacionais antigos, o que limita um pouco seu uso. Prevendo o problema, muitos pontos de acesso oferecem a opo de combinar o uso do WPA e do WPA2 ("WPAPSK+WPA2-PSK", ou similar). Com isso, o ponto de acesso d preferncia ao uso do WPA2, mas permite tambm a conexo de clientes que oferecem apenas suporte ao WPA, usando a mesma passphrase em ambos os casos:

Se voc est preocupado com o desempenho da rede, importante medir a taxa de transferncia usando o sistema de encriptao escolhido e comparar o valor com a taxa obtida ao desativar a encriptao. A maioria dos pontos de acesso, sobretudo os modelos mais baratos, possuem um sistema "preferencial" de encriptao, que o nico onde o processamento executado diretamente via hardware pelo controlador principal. Para cortar custos, os demais algoritmos de encriptao so processados via software, o que resulta em um desempenho mais baixo. Em muitos casos, a perda pode chegar a 50%. Nos APs antigos o sistema preferencial era o WEP e voc notava uma reduo substancial de desempenho ao usar o WPA. Nos atuais, o papel se inverteu, com o preferencial sendo o WPA ou o WPA2 e o WEP sendo mais lento. Como o RC4 (o algoritmo de encriptao usado no WPA) bem diferente do AES usado no WPA2, os pontos de acesso que utilizam o WPA como sistema preferencial acabam quase sempre oferecendo um desempenho mais baixo no WPA2 e vice-versa, de forma que importante checar esta caracterstica antes de comprar. Continuando, a encriptao pode ser combinada com o uso de uma lista de controle acesso, baseada em endereos MAC. Voc pode tanto criar uma lista branca, listando os endereos MAC das placas que devem ter acesso rede (allow), quanto bloquear alguns endereos especficos, dando acesso a todos os demais (deny ou block). Procure pela seo "Access Control" ou "Mac Filter" dentro da configurao do AP:

O controle de acesso dificulta o acesso rede, mas no uma soluo por si s, pois fcil descobrir os endereos MAC das estaes ao escutar o trfego da rede usando o Kismet ou outra ferramenta de auditoria e a partir da falsear o endereo MAC da placa, de forma que ela utilize um dos endereos das estaes autorizadas. Apesar disso, a lista de acesso um dificultador a mais, que combinado com o uso de encriptao aumenta a segurana da rede. Outra dica que um AP no configurado um alvo fcil para qualquer um, j que os SSIDs usados por default so bem conhecidos e a maioria trabalha por default em modo "open", aceitando a conexo de qualquer cliente. Se o ponto de acesso utiliza uma antena destacvel, voc pode remov-la durante a fase de configurao. Mesmo sem a antena, o AP emitir um sinal fraco, suficiente para que voc consiga conectar um notebook posicionado prximo a ele, mas que no ir muito longe. Em alguns APs voc encontra a opo "Wireless Radio" ou "Turn Radio On", que permite desativar o transmissor via software.