Академический Документы
Профессиональный Документы
Культура Документы
Cartilha de Segurana PRIVACIDADE PHISHING WIRELESS SPYWARE para Internet SCAM ANTIVRUS WORM BLUETOOTH
INCIDENTE SEGURANA FRAUDE INTERNET Parte V: Redes de Banda Larga e MALWARE PREVENO VRUS BANDA LARGA Redes Sem Fio (Wireless) TROJAN PRIVACIDADE PHISHING WIRELESS
Cartilha de Seguranca para Internet Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)
Esta parte da Cartilha discute implicacoes de seguranca pecu liares aos servicos de banda larga e de redes sem o (wireless). Tamb m apresenta algumas recomendacoes para que usu rios e a destes servicos possam utiliz -los de forma mais segura. a
http://cartilha.cert.br/
Sum rio a
1 Servicos de Banda Larga 1.1 Por que um atacante teria maior interesse por um computador com banda larga e quais s o os riscos associados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 1.2 O que fazer para proteger um computador conectado por banda larga? . . . . . . . . 1.3 O que fazer para proteger uma rede conectada por banda larga? . . . . . . . . . . . . Redes Sem Fio (Wireless) 2.1 Quais s o os riscos do uso de redes sem o? . . . . . . . . . . . . . . . . . . . . . . a 2.2 Que cuidados devo ter com um cliente de uma rede sem o? . . . . . . . . . . . . . 2.3 Que cuidados devo ter ao montar uma rede sem o dom stica? . . . . . . . . . . . . e 3 3 3 4 5 5 5 6 8 8 8
2/8
` Servicos de banda larga s o aqueles que permitem ao usu rio conectar seus computadores a Inter a a net com velocidades maiores do que as normalmente usadas em linhas discadas. Exemplos desse tipo de servico s o ADSL, cable modem e acesso via sat lite. a e Al m da maior velocidade, outra caracterstica desse tipo de servico e a possibilidade do usu rio e a ` deixar seu computador conectado a Internet por longos perodos de tempo, normalmente sem limite de uso ou custos adicionais.
1.1
Por que um atacante teria maior interesse por um computador com banda larga e quais s o os riscos associados? a
Geralmente um computador conectado atrav s de banda larga possui boa velocidade de conex o, e a 1 com pouca freq encia e ca por longos perodos ligado a Internet, mas n o ` muda o endereco IP u a possui os mesmos mecanismos de seguranca que servidores. Isto os torna alvos mais f ceis para os a atacantes. Por estas caractersticas, estes computadores podem ser usados pelos atacantes para diversos prop sitos, como por exemplo: o realizar ataques de negacao de servico, aproveitando-se da maior velocidade disponvel. Di versas m quinas comprometidas podem tamb m ser combinadas de modo a criar um ataque a e de negacao de servico distribudo. Maiores informacoes sobre ataque de negacao de servico podem ser encontradas na parte I: Conceitos de Seguranca; usar a m quina comprometida como ponto de partida para atacar outras redes, dicultando o a rastreio da real origem do ataque; furtar informacoes, tais como n meros de cart es de cr dito, senhas, etc; u o e usar recursos do computador. Por exemplo, o invasor pode usar o espaco disponvel em seu disco rgido para armazenar programas copiados ilegalmente, m sica, imagens, etc. O invasor u tamb m pode usar a CPU disponvel para, por exemplo, quebrar senhas de sistemas comproe metidos; enviar spam ou navegar na Internet de maneira an nima, a partir de certos programas que podem o estar instalados no seu computador, tais como AnalogX e WinGate, e que podem estar mal congurados. Vale ressaltar que todas essas atividades podem ser realizadas de maneira automatizada, caso o computador seja infectado por um bot. Maiores detalhes sobre bots podem ser encontrados na parte VIII: C digos Maliciosos (Malware). o
1.2
Os usu rios de servicos de banda larga devem tomar os seguintes cuidados com o seu computador: a
1O
3/8
instalar um rewall pessoal e car atento aos registros de eventos (logs) gerados por este programa. Maiores detalhes sobre registros de eventos podem ser encontrados na parte VII: Incidentes de Seguranca e Uso Abusivo da Rede; instalar e manter atualizado um bom programa antivrus; atualizar as assinaturas do antivrus diariamente; manter os seus softwares (sistema operacional, programas que utiliza, etc) sempre atualizados e com as ultimas correcoes de seguranca aplicadas (patches); desligar o compartilhamento de disco, impressora, etc; mudar a senha padr o do seu equipamento de banda larga2 (modem ADSL, por exemplo) pois a as senhas destes equipamentos podem ser facilmente encontradas na Internet com uma simples busca. Esse fato e de conhecimento dos atacantes e bastante abusado. A escolha de uma boa senha e discutida na parte I: Conceitos de Seguranca. e A parte II: Riscos Envolvidos no Uso da Internet e M todos de Prevencao mostra maiores detalhes sobre os cuidados citados acima.
1.3
O que fazer para proteger uma rede conectada por banda larga?
Muitos usu rios de banda larga optam por montar uma pequena rede (dom stica ou mesmo em a e pequenas empresas), com v rios computadores usando o mesmo acesso a Internet. Nesses casos, a alguns cuidados importantes, al m dos citados anteriormente, s o: e a instalar um rewall separando a rede interna da Internet; caso seja instalado algum tipo de proxy (como AnalogX, WinGate, WinProxy, etc), congur -lo a para que apenas aceite requisicoes partindo da rede interna; caso seja necess rio compartilhar recursos como disco ou impressora entre m quinas da rede a a interna, devem-se tomar os devidos cuidados para que o rewall n o permita que este compara tilhamento seja visvel pela Internet. E muito importante notar que apenas instalar um rewall n o e suciente todos os computadores a da rede devem estar congurados de acordo com as medidas preventivas mencionadas na parte II: Riscos Envolvidos no Uso da Internet e M todos de Prevencao. e Muitos equipamentos de banda larga, como roteadores ADSL, est o incluindo outras funcionalia dades, como por exemplo concentradores de acesso (Access Points) para redes wireless. Nesse caso, al m de seguir as dicas dessa secao tamb m pode ser interessante observar as dicas da secao 2.3. e e
no contrato se e permitida a alteracao da conguracao do equipamento. Caso seja permitida, guarde a senha original e lembre de restaur -la sempre que for necess rio, como por exemplo em caso de manutencao do equipamento. a a
2 Verique
4/8
As redes sem o (wireless), tamb m conhecidas como IEEE 802.11, Wi-Fi ou WLANs, s o redes e a que utilizam sinais de r dio para a sua comunicacao. a Este tipo de rede dene duas formas de comunicacao: modo infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point ou AP); modo ponto a ponto (ad-hoc): permite que um pequeno grupo de m quinas se comunique diretaa mente, sem a necessidade de um AP. Estas redes ganharam grande popularidade pela mobilidade que prov em aos seus usu rios e pela e a facilidade de instalacao e uso em ambientes dom sticos e empresariais, hot is, confer ncias, aeropor e e e tos, etc.
2.1
Embora esse tipo de rede seja muito conveniente, existem alguns problemas de seguranca que devem ser levados em consideracao pelos seus usu rios: a estas redes utilizam sinais de r dio para a comunicacao e qualquer pessoa com um mnimo de a 3 poder interceptar os dados transmitidos por um cliente da rede sem o (como a equipamento notebooks, PDAs, estacoes de trabalho, etc); por serem bastante simples de instalar, muitas pessoas est o utilizando redes desse tipo em a casa, sem nenhum cuidado adicional, e at mesmo em empresas, sem o conhecimento dos e administradores de rede.
2.2
` V rios cuidados devem ser observados quando se pretende conectar a uma rede sem o como a cliente, seja com notebooks, PDAs, estacoes de trabalho, etc. Dentre eles, podem-se citar: considerar que, ao conectar a uma WLAN, voc estar conectando-se a uma rede p blica e, e a u muito importante que voc tome os portanto, seu computador estar exposto a ameacas. E a e seguintes cuidados com o seu computador: instalar um rewall pessoal; instalar e manter atualizado um bom programa antivrus; atualizar as assinaturas do antivrus diariamente;
3 Um
5/8
aplicar as ultimas correcoes em seus softwares (sistema operacional, programas que uti liza, etc); desligar compartilhamento de disco, impressora, etc. desabilitar o modo ad-hoc. Utilize esse modo apenas se for absolutamente necess rio e deslia gue-o assim que n o precisar mais; a sempre que possvel usar WEP (Wired Equivalent Privacy), que permite criptografar o tr fego a entre o cliente e o AP. Fale com o seu administrador de rede para vericar se o WEP est habilia tado e se a chave e diferente daquelas que acompanham a conguracao padr o do equipamento. a O protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta n o autorizada; a vericar com seu provedor de rede sem o sobre a possibilidade de usar WPA (Wi-Fi Protected Access) em substituicao ao WEP, uma vez que este padr o pode aumentar signicativamente a a seguranca da rede. Esta tecnologia inclui duas melhorias em relacao ao protocolo WEP que envolvem melhor criptograa para transmiss o de dados e autenticacao de usu rio. Mesmo que a a seu equipamento seja mais antigo, e possvel que exista uma atualizacao para permitir o uso de WPA; considerar o uso de criptograa nas aplicacoes, como por exemplo, o uso de PGP para o envio de e-mails, SSH para conex es remotas ou ainda o uso de VPNs; o evitar o acesso a servicos que n o utilizem conex o segura, ao usar uma rede sem o em local a a p blico. Por exemplo, se for necess rio ler e-mails ou acessar a Intranet da sua empresa, d u a e prefer ncia a servicos que usem criptograa; e habilitar a rede sem o somente quando for us -la e desabilit -la ap s o uso. Algumas estacoes a a o de trabalho e notebooks permitem habilitar e desabilitar o uso de redes sem o atrav s de e comandos ou bot es especcos. No caso de notebooks com cart es PCMCIA, insira o cart o o o a apenas quando for usar a rede e retire-o ao terminar de usar.
2.3
Que cuidados devo ter ao montar uma rede sem o dom stica? e
Pela conveni ncia e facilidade de conguracao das redes sem o, muitas pessoas t m instalado e e estas redes em suas casas. Nestes casos, al m das preocupacoes com os clientes da rede, tamb m s o e e a necess rios alguns cuidados na conguracao do AP. Algumas recomendacoes s o: a a ter em mente que, dependendo da pot ncia da antena de seu AP, sua rede dom stica pode e e abranger uma area muito maior que apenas a da sua casa. Com isto sua rede pode ser utilizada sem o seu conhecimento ou ter seu tr fego capturado por vizinhos ou pessoas que estejam nas a proximidades da sua casa; mudar conguracoes padr o que acompanham o seu AP. Alguns exemplos s o: a a alterar as senhas. Dicas para a escolha de uma boa senha podem ser obtidas na parte I: Conceitos de Seguranca; alterar o SSID (Server Set ID);
Cartilha de Seguranca para Internet c 2005 CERT.br 6/8
desabilitar o broadcast de SSID; permitir que um computador se conecte ao AP para alterar as conguracoes apenas atrav s e da rede cabeada, se esta opcao estiver disponvel. Desta maneira um possvel atacante externo (via rede sem o) n o poder acessar o AP diretamente para promover mudancas a a na conguracao.Verique a documentacao do seu AP sobre como efetuar estas mudancas, caso estejam disponveis; vericar se seus equipamentos j suportam WPA (Wi-Fi Protected Access) e utiliz -lo sempre a a que possvel. Esta tecnologia e mais recente e inclui melhorias em relacao ao protocolo WEP para prover uma seguranca adicional contra acesso e escuta de tr fego n o autorizada. Lembre a a se que atualizacoes para WPA est o disponveis para a maior parte dos equipamentos mais a antigos; caso o WPA n o esteja disponvel, usar sempre que possvel WEP (Wired Equivalent Privacy), a para criptografar o tr fego entre os clientes e o AP. Vale lembrar que o protocolo WEP possui a diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta n o a autorizada; se for utilizar WEP, trocar as chaves que acompanham a conguracao padr o do equipamento. a Procure usar o maior tamanho de chave possvel (128 bits); desligar seu AP quando n o estiver usando sua rede. a Existem conguracoes de seguranca mais avancadas para redes sem o, que requerem conheci mentos de administracao de redes. Estes conhecimentos n o s o abordados neste documento. a a
7/8
Agradecimentos
O CERT.br agradece a todos que contriburam para a elaboracao deste documento, enviando co ment rios, crticas, sugest es ou revis es. a o o Agradece, especialmente, ao Nelson Murilo pelas sugest es e revis o desta parte da Cartilha. o a
8/8