SEGURANA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

SPYWARE ANTIVRUS WORM BLUETOOTH SC

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL INCIDENTE

BACKDOOR COOKIES KEYLOGGER PATCHES R PREVENO VRUS BANDA LARGA TROJAN

Cartilha de Segurana PRIVACIDADE PHISHING WIRELESS SPYWARE para Internet SCAM ANTIVRUS WORM BLUETOOTH
INCIDENTE SEGURANA FRAUDE INTERNET Parte V: Redes de Banda Larga e MALWARE PREVENO VRUS BANDA LARGA Redes Sem Fio (Wireless) TROJAN PRIVACIDADE PHISHING WIRELESS

TECNOLOGIA SPAM INTERNET MA

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R

SPYWARE ANTIVRUS WORM BLUETOOTH SC

Verso 3.0 Setembro de 2005 http://cartilha.cert.br/

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R

INCIDENTE SEGURANA FRAUDE TECNOLOGIA

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil

Cartilha de Seguranca para Internet Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Esta parte da Cartilha discute implicacoes de seguranca pecu liares aos servicos de banda larga e de redes sem o (wireless). Tamb m apresenta algumas recomendacoes para que usu rios e a destes servicos possam utiliz -los de forma mais segura. a

Versao 3.0 Setembro de 2005

http://cartilha.cert.br/

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Sum rio a
1 Servicos de Banda Larga 1.1 Por que um atacante teria maior interesse por um computador com banda larga e quais s o os riscos associados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 1.2 O que fazer para proteger um computador conectado por banda larga? . . . . . . . . 1.3 O que fazer para proteger uma rede conectada por banda larga? . . . . . . . . . . . . Redes Sem Fio (Wireless) 2.1 Quais s o os riscos do uso de redes sem o? . . . . . . . . . . . . . . . . . . . . . . a 2.2 Que cuidados devo ter com um cliente de uma rede sem o? . . . . . . . . . . . . . 2.3 Que cuidados devo ter ao montar uma rede sem o dom stica? . . . . . . . . . . . . e 3 3 3 4 5 5 5 6 8 8 8

Como Obter este Documento Nota de Copyright e Distribuicao Agradecimentos

Cartilha de Seguranca para Internet c 2005 CERT.br

2/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Servicos de Banda Larga

` Servicos de banda larga s o aqueles que permitem ao usu rio conectar seus computadores a Inter a a net com velocidades maiores do que as normalmente usadas em linhas discadas. Exemplos desse tipo de servico s o ADSL, cable modem e acesso via sat lite. a e Al m da maior velocidade, outra caracterstica desse tipo de servico e a possibilidade do usu rio e a ` deixar seu computador conectado a Internet por longos perodos de tempo, normalmente sem limite de uso ou custos adicionais.

1.1

Por que um atacante teria maior interesse por um computador com banda larga e quais s o os riscos associados? a

Geralmente um computador conectado atrav s de banda larga possui boa velocidade de conex o, e a 1 com pouca freq encia e ca por longos perodos ligado a Internet, mas n o ` muda o endereco IP u a possui os mesmos mecanismos de seguranca que servidores. Isto os torna alvos mais f ceis para os a atacantes. Por estas caractersticas, estes computadores podem ser usados pelos atacantes para diversos prop sitos, como por exemplo: o realizar ataques de negacao de servico, aproveitando-se da maior velocidade disponvel. Di versas m quinas comprometidas podem tamb m ser combinadas de modo a criar um ataque a e de negacao de servico distribudo. Maiores informacoes sobre ataque de negacao de servico podem ser encontradas na parte I: Conceitos de Seguranca; usar a m quina comprometida como ponto de partida para atacar outras redes, dicultando o a rastreio da real origem do ataque; furtar informacoes, tais como n meros de cart es de cr dito, senhas, etc; u o e usar recursos do computador. Por exemplo, o invasor pode usar o espaco disponvel em seu disco rgido para armazenar programas copiados ilegalmente, m sica, imagens, etc. O invasor u tamb m pode usar a CPU disponvel para, por exemplo, quebrar senhas de sistemas comproe metidos; enviar spam ou navegar na Internet de maneira an nima, a partir de certos programas que podem o estar instalados no seu computador, tais como AnalogX e WinGate, e que podem estar mal congurados. Vale ressaltar que todas essas atividades podem ser realizadas de maneira automatizada, caso o computador seja infectado por um bot. Maiores detalhes sobre bots podem ser encontrados na parte VIII: C digos Maliciosos (Malware). o

1.2

O que fazer para proteger um computador conectado por banda larga?

Os usu rios de servicos de banda larga devem tomar os seguintes cuidados com o seu computador: a
1O

conceito de endereco IP pode ser encontrado no Gloss rio. a

Cartilha de Seguranca para Internet c 2005 CERT.br

3/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

instalar um rewall pessoal e car atento aos registros de eventos (logs) gerados por este programa. Maiores detalhes sobre registros de eventos podem ser encontrados na parte VII: Incidentes de Seguranca e Uso Abusivo da Rede; instalar e manter atualizado um bom programa antivrus; atualizar as assinaturas do antivrus diariamente; manter os seus softwares (sistema operacional, programas que utiliza, etc) sempre atualizados e com as ultimas correcoes de seguranca aplicadas (patches); desligar o compartilhamento de disco, impressora, etc; mudar a senha padr o do seu equipamento de banda larga2 (modem ADSL, por exemplo) pois a as senhas destes equipamentos podem ser facilmente encontradas na Internet com uma simples busca. Esse fato e de conhecimento dos atacantes e bastante abusado. A escolha de uma boa senha e discutida na parte I: Conceitos de Seguranca. e A parte II: Riscos Envolvidos no Uso da Internet e M todos de Prevencao mostra maiores detalhes sobre os cuidados citados acima.

1.3

O que fazer para proteger uma rede conectada por banda larga?

Muitos usu rios de banda larga optam por montar uma pequena rede (dom stica ou mesmo em a e pequenas empresas), com v rios computadores usando o mesmo acesso a Internet. Nesses casos, a alguns cuidados importantes, al m dos citados anteriormente, s o: e a instalar um rewall separando a rede interna da Internet; caso seja instalado algum tipo de proxy (como AnalogX, WinGate, WinProxy, etc), congur -lo a para que apenas aceite requisicoes partindo da rede interna; caso seja necess rio compartilhar recursos como disco ou impressora entre m quinas da rede a a interna, devem-se tomar os devidos cuidados para que o rewall n o permita que este compara tilhamento seja visvel pela Internet. E muito importante notar que apenas instalar um rewall n o e suciente todos os computadores a da rede devem estar congurados de acordo com as medidas preventivas mencionadas na parte II: Riscos Envolvidos no Uso da Internet e M todos de Prevencao. e Muitos equipamentos de banda larga, como roteadores ADSL, est o incluindo outras funcionalia dades, como por exemplo concentradores de acesso (Access Points) para redes wireless. Nesse caso, al m de seguir as dicas dessa secao tamb m pode ser interessante observar as dicas da secao 2.3. e e
no contrato se e permitida a alteracao da conguracao do equipamento. Caso seja permitida, guarde a senha original e lembre de restaur -la sempre que for necess rio, como por exemplo em caso de manutencao do equipamento. a a
2 Verique

Cartilha de Seguranca para Internet c 2005 CERT.br

4/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Redes Sem Fio (Wireless)

As redes sem o (wireless), tamb m conhecidas como IEEE 802.11, Wi-Fi ou WLANs, s o redes e a que utilizam sinais de r dio para a sua comunicacao. a Este tipo de rede dene duas formas de comunicacao: modo infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point ou AP); modo ponto a ponto (ad-hoc): permite que um pequeno grupo de m quinas se comunique diretaa mente, sem a necessidade de um AP. Estas redes ganharam grande popularidade pela mobilidade que prov em aos seus usu rios e pela e a facilidade de instalacao e uso em ambientes dom sticos e empresariais, hot is, confer ncias, aeropor e e e tos, etc.

2.1

Quais s o os riscos do uso de redes sem o? a

Embora esse tipo de rede seja muito conveniente, existem alguns problemas de seguranca que devem ser levados em consideracao pelos seus usu rios: a estas redes utilizam sinais de r dio para a comunicacao e qualquer pessoa com um mnimo de a 3 poder interceptar os dados transmitidos por um cliente da rede sem o (como a equipamento notebooks, PDAs, estacoes de trabalho, etc); por serem bastante simples de instalar, muitas pessoas est o utilizando redes desse tipo em a casa, sem nenhum cuidado adicional, e at mesmo em empresas, sem o conhecimento dos e administradores de rede.

2.2

Que cuidados devo ter com um cliente de uma rede sem o?

` V rios cuidados devem ser observados quando se pretende conectar a uma rede sem o como a cliente, seja com notebooks, PDAs, estacoes de trabalho, etc. Dentre eles, podem-se citar: considerar que, ao conectar a uma WLAN, voc estar conectando-se a uma rede p blica e, e a u muito importante que voc tome os portanto, seu computador estar exposto a ameacas. E a e seguintes cuidados com o seu computador: instalar um rewall pessoal; instalar e manter atualizado um bom programa antivrus; atualizar as assinaturas do antivrus diariamente;
3 Um

PDA ou notebook com uma placa de rede sem o.

Cartilha de Seguranca para Internet c 2005 CERT.br

5/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

aplicar as ultimas correcoes em seus softwares (sistema operacional, programas que uti liza, etc); desligar compartilhamento de disco, impressora, etc. desabilitar o modo ad-hoc. Utilize esse modo apenas se for absolutamente necess rio e deslia gue-o assim que n o precisar mais; a sempre que possvel usar WEP (Wired Equivalent Privacy), que permite criptografar o tr fego a entre o cliente e o AP. Fale com o seu administrador de rede para vericar se o WEP est habilia tado e se a chave e diferente daquelas que acompanham a conguracao padr o do equipamento. a O protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta n o autorizada; a vericar com seu provedor de rede sem o sobre a possibilidade de usar WPA (Wi-Fi Protected Access) em substituicao ao WEP, uma vez que este padr o pode aumentar signicativamente a a seguranca da rede. Esta tecnologia inclui duas melhorias em relacao ao protocolo WEP que envolvem melhor criptograa para transmiss o de dados e autenticacao de usu rio. Mesmo que a a seu equipamento seja mais antigo, e possvel que exista uma atualizacao para permitir o uso de WPA; considerar o uso de criptograa nas aplicacoes, como por exemplo, o uso de PGP para o envio de e-mails, SSH para conex es remotas ou ainda o uso de VPNs; o evitar o acesso a servicos que n o utilizem conex o segura, ao usar uma rede sem o em local a a p blico. Por exemplo, se for necess rio ler e-mails ou acessar a Intranet da sua empresa, d u a e prefer ncia a servicos que usem criptograa; e habilitar a rede sem o somente quando for us -la e desabilit -la ap s o uso. Algumas estacoes a a o de trabalho e notebooks permitem habilitar e desabilitar o uso de redes sem o atrav s de e comandos ou bot es especcos. No caso de notebooks com cart es PCMCIA, insira o cart o o o a apenas quando for usar a rede e retire-o ao terminar de usar.

2.3

Que cuidados devo ter ao montar uma rede sem o dom stica? e

Pela conveni ncia e facilidade de conguracao das redes sem o, muitas pessoas t m instalado e e estas redes em suas casas. Nestes casos, al m das preocupacoes com os clientes da rede, tamb m s o e e a necess rios alguns cuidados na conguracao do AP. Algumas recomendacoes s o: a a ter em mente que, dependendo da pot ncia da antena de seu AP, sua rede dom stica pode e e abranger uma area muito maior que apenas a da sua casa. Com isto sua rede pode ser utilizada sem o seu conhecimento ou ter seu tr fego capturado por vizinhos ou pessoas que estejam nas a proximidades da sua casa; mudar conguracoes padr o que acompanham o seu AP. Alguns exemplos s o: a a alterar as senhas. Dicas para a escolha de uma boa senha podem ser obtidas na parte I: Conceitos de Seguranca; alterar o SSID (Server Set ID);
Cartilha de Seguranca para Internet c 2005 CERT.br 6/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

desabilitar o broadcast de SSID; permitir que um computador se conecte ao AP para alterar as conguracoes apenas atrav s e da rede cabeada, se esta opcao estiver disponvel. Desta maneira um possvel atacante externo (via rede sem o) n o poder acessar o AP diretamente para promover mudancas a a na conguracao.Verique a documentacao do seu AP sobre como efetuar estas mudancas, caso estejam disponveis; vericar se seus equipamentos j suportam WPA (Wi-Fi Protected Access) e utiliz -lo sempre a a que possvel. Esta tecnologia e mais recente e inclui melhorias em relacao ao protocolo WEP para prover uma seguranca adicional contra acesso e escuta de tr fego n o autorizada. Lembre a a se que atualizacoes para WPA est o disponveis para a maior parte dos equipamentos mais a antigos; caso o WPA n o esteja disponvel, usar sempre que possvel WEP (Wired Equivalent Privacy), a para criptografar o tr fego entre os clientes e o AP. Vale lembrar que o protocolo WEP possui a diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta n o a autorizada; se for utilizar WEP, trocar as chaves que acompanham a conguracao padr o do equipamento. a Procure usar o maior tamanho de chave possvel (128 bits); desligar seu AP quando n o estiver usando sua rede. a Existem conguracoes de seguranca mais avancadas para redes sem o, que requerem conheci mentos de administracao de redes. Estes conhecimentos n o s o abordados neste documento. a a

Cartilha de Seguranca para Internet c 2005 CERT.br

7/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Como Obter este Documento

Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente atualizado, certique-se de ter sempre a vers o mais recente. a Caso voc tenha alguma sugest o para este documento ou encontre algum erro, entre em contato e a atrav s do endereco doc@cert.br. e

Nota de Copyright e Distribuicao

Este documento e Copyright c 20002005 CERT.br. Ele pode ser livremente copiado desde que sejam respeitadas as seguintes condicoes: o 1. E permitido fazer e distribuir c pias inalteradas deste documento, completo ou em partes, contanto que esta nota de copyright e distribuicao seja mantida em todas as c pias, e que a o distribuicao n o tenha ns comerciais. a 2. Se este documento for distribudo apenas em partes, instrucoes de como obt -lo por completo e devem ser includas. o 3. E vedada a distribuicao de vers es modicadas deste documento, bem como a comercializacao de c pias, sem a permiss o expressa do CERT.br. o a Embora todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n o a garante a correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais con seq encias que possam advir do seu uso. u

Agradecimentos
O CERT.br agradece a todos que contriburam para a elaboracao deste documento, enviando co ment rios, crticas, sugest es ou revis es. a o o Agradece, especialmente, ao Nelson Murilo pelas sugest es e revis o desta parte da Cartilha. o a

Cartilha de Seguranca para Internet c 2005 CERT.br

8/8