Implementação WLAN

A implementação de WLAN deve levar em consideração uma série de fatores, alguns bastante críticos, como segurança. O primeiro passo deve ser colocar a WLAN para funcionar. Assim que for verificada a conectividade entre um dispositivo e um AP, então, podemos começar a implementação das políticas de segurança. Eis uma sugestão de checklist a ser seguido em uma implementação WLAN:

| Verifique a existência e operação da rede cabeada, incluindo o funcionamento de serviços essenciais como DHCP, DNS, VLANs e conexão com a Internet (se aplicável);

| Instale o AP, configure-o e verifique sua conectividade com a rede cabeada;

| Configure os parâmetros wireless, como o Service Set ID (SSID), porém, nada de segurança, ainda;

| Configure ao menos um dispositivo WIFI, como um laptop, para testar o funcionamento da rede WLAN;

I Verifique se a rede WLAN está funcionando;

| Configure as políticas de segurança no AP e no cliente WIFI; | Verifique novamente o funcionamento da rede WLAN. Vamos examinar com um pouco mais de detalhe cada um dos passos descritos anteriormente, incluindo a parte de segurança.

3.10.1 Verificação da Operação da Rede Cabeada

Alguns pontos importantes devem ser observados. Um deles é que, normalmente, o AP é conectado a uma porta de acesso no switch, ou seja, pode ser que esta porta esteja associada a uma determinada VLAN. É importante ter em mente que, se o modo escolhido de operação WLAN for o ESS, todos os APs devem estar associados às mesmas VLANs, como a figura 3.7 ilustra.

Figura 3.7: W LAN em modo ESS com os APs associados à mesma VLA N (2).

3.10.2 Instalação e Configuração do AP

Assim como switches Ethernet convencionais, APs encontram -se definidos na camada 2 e, portanto, não necessitam de um endereço IP para operar. Entretanto, também assim como switches, é interessante configurarmos um endereço IP nos APs para fins de gerenciamento e configuração. O AP utiliza um cabo Ethernet straight-trhough para conexão com a rede cabeada. O ideal é conectá-lo à uma porta de 100 Mbps, especialmente se o AP for trabalhar com taxas de transferências elevadas.

3.10.3 Configuração dos Detalhes WLAN no AP

Grande parte dos APs existentes hoje não necessitam de configurações adicionais para que funcionem. Basta conectá-los a uma rede cabeada utilizando suas configurações de fábrica e pronto! Entretanto, muitos destes APs podem ser configurados com uma série de parâmetros que podem adicionar segurança e elevar a performance da rede que está sendo concebida. A seguinte lista elenca alguns dos parâmetros que podem (em alguns APs, devem) ser configurados:

| Padrão IEEE a ser utilizado (a, b, g ou múltiplo); | Canal (freqüência) a ser utilizado no AP;

| Service Set Identifier (SSID); | Potência de transmissão.

82 CCNA 4.1 - Guia Completo de Estudo

Cada WLAN necessita de um identificador único. O SSID é nada mais que o identificador de uma rede WLAN. Em modo BSS, cada AP deve ter um SSID distinto. Já em modo ESS, os APs pertencentes ao mesmo Service Set devem possuir o mesmo SSID. O SSID é formado por até 32 caracteres ASCII.

3.10.4 Configuração do Cliente WIFI

Basicamente, um cliente WIFI é qualquer dispositivo que tenha uma antena que trabalhe dentro de um dos padrões já mencionados (IEEE 802.11a, b ou g). Pode ser um Palm, um iPhone da Apple, um laptop ou mesmo um desktop. Como vimos, o AP pode precisar de algumas configurações para poder funcionar. Já o cliente W IF I, muitas vezes, não precisa de nenhuma configuração. Basta habilitar a antena e os aplicativos que rodam no dispositivo fazem o restante. Existem hoje no mercado uma série de aplicativos que atuam junto com as interfaces WIFI dos dispositivos, ajudando no processo de auto-configuração. É o caso do M icrosoft Zero Configuration Utility (ZCF), que já é parte integrante dos W indows mais recentes. Mesmo assim , se algum parâmetro precisar ser manualmente especificado, basta acessar as configurações WIFI de seu dispositivo e configurá-lo.

3.10.5 Verificação do Funcionamento da WLAN

O primeiro passo para verificação de que a WLAN está operacional é checar se a interface WIFI do dispositivo cliente encontra-se ativa e possui um endereço IP (o endereço IP pode ser obtido automaticamente, no caso de um servidor DHCP na rede, ou configurado manualmente, depende de como a rede se encontra configurada). Uma vez verificada esta parte, deve-se tentar o acesso a outros elementos de rede, como um servidor ou a Internet, se aplicável. Se o teste falhar, é preciso identificar o problema em potencial:

} O AP encontra-se conven ientem ente instalado e configurado? Ex: verifique se o canal configurado no AP não se sobrepõe com o canal configurado em um AP vizinho. | O AP encontra-se próximo a uma grande concentração de

metais (um armário metálico, por exemplo)?

| O am biente onde o AP foi instalado está su jeito às in terferên cias externas (telefones sem -fio, forno de microondas ou qualquer outro elemento que possa interferir nas ondas de rádio do AP)?

| A área de cobertura do AP é ampla o suficiente para alcançar o dispositivo WIFI? Caso negativo, mais um AP pode ser necessário (habilitação do modo ESS de serviço). Um modo de identificar problemas em redes WLAN é pegar um dispositivo móvel - como um laptop - e mover-se de um ponto próximo ao AP para um ponto mais distante. Desta forma, pode ser possível identificar pontos-cegos e outras anomalias. Isso pode ser chamado de um site-suroey bem básico.

3.10.6 Segurança de Redes Wireless

Para encerrar o tópico de redes sem-fio, vamos analisar os aspectos de segurança inerentes a uma rede deste tipo. E importante entender que redes sem-fio introduzem uma série de vulnerabilidades que não existem em redes convencionais. Algumas destas vulnerabilidades permitem o acesso e o furto de informações críticas, ou mesmo que um invasor interrom pa algum servidor crítico, causando prejuízos astronôm icos para uma grande corporação. Por estas razões, é importante compreender quais os riscos e quais as medidas preventivas disponíveis para implementação.

Dentre as ameaças existentes, eis as que fazem parte do escopo do exame CCNA:

| War drivers - Normalmente, este tipo de ataque é impetrado por indivíduos que querem ter livre acesso à Internet. Eles atuam movendo-se com um laptop e uma antena WIFI em busca de um AP que não tenha esquemas de segurança habilitados para então ter acesso à rede;

} H ackers - A m otivação por trás destes invasores é a obtenção de informações com algum valor, ou simplesmente, o terrorismo cibernético (derrubar servidores, etc). Redes sem-fio desprotegidas são a porta de entrada para a rede toda;

| Funcionários - Funcionários também podem consistir em uma ameaça, na medida em que podem inadvertidamente auxiliar os hackers a ganhar acesso à rede. Um exemplo seria um funcionário que adquire um AP de R$ 200,00 e o instala na rede da empresa sem informar ninguém;

| Rogue AP - Trata-se de um AP "clonad o". O invasor captura frames emitidos pela rede WLAN e, analisando estes frames, consegue obter informações como SSID da rede e

84 CCNA 4.1 - Guia Completo de Estudo

as chaves de segurança criptografas (se em uso). Usando um método qualquer (como o de força bruta), eventualmente pode conseguir descriptografar as chaves e usar estas inform ações para configurar um AP "clo n e ", externo, fazendo com que os usuários da rede WLAN o vejam como parte legítima da rede. Se um dispositivo de um funcionário se registrar neste AP "pirata", o funcionário pode digitar informações críticas que podem ser facilmente capturadas pelo invasor e utilizadas posteriormente para atacar a rede corporativa.

Para mitigar estes riscos, 3 tipos principais de ferramentas podem ser utilizadas em uma rede WLAN:

I Autenticação mútua (M utual A uthentication) - Este tipo de ferramenta deve ser utilizada entre o cliente e o AP. O processo de au tenticação u tiliza uma senha secreta, chamada de key (chave), que deve ser configurada tanto no cliente WIFI quanto no AP. Por meio do uso de sofisticados algoritmos, o AP é capaz de determinar se o cliente possui, de fato, conhecimento da chave em uso. Da mesma forma, o cliente faz essa checagem do seu lado, para certificar-se que o AP em uso é idôneo. O interessante deste processo é que a chave nunca é enviada de um lado ao outro, reduzindo as probabilidades de interceptação e ataque;

| Criptografia (Encryption) - Este método utiliza uma chave secreta e um algoritmo matemático para criptografar o conteúdo dos frames da rede WLAN. O cliente então utiliza um outro algoritm o para d escrip to g rafar o fram e e processá-lo;

| Ferramentas antiintrusão - Esta categoria engloba uma série de ferram entas, as mais comuns sendo Intrusion

D etection System s (IDS) e Intrusion Prevention Systems (IPS), além de ferramentas específicas para redes WLAN. A Cisco define a arquitetura SWAN (Structured Wireless-

A w are N etw ork), que co m p reen d e um a série de ferramentas, algumas focando em riscos específicos, como a identificação "rogue APs".

A tab ela apresentada na seqü ên cia, resum e as p rin cip ais vulnerabilidades discutidas e as ações sugeridas para mitigar os riscos associados.

V u ln e r a b ilid a d e S o lu ç ã o

W a r d rivers M e c a n is m o s e fic ie n te s d e a u te n tic a ç ã o F u rto d e in fo rm a ç õ e s v ia W L A N M e c a n is m o s e fic ie n te s d e c rip to g ra fia A c e s s o e x te rn o a re d e v ia W L A N M e c a n is m o s e fic ie n te s d e a u te n tic a ç ã o In s ta la ç ã o n ã o -a u to riz a d a d e A P s A p lic a ç ã o d e ID S / S W A N

A P C lo n a d o (ro g u e A P ) M e c a n is m o s e fic ie n te s d e a u te n tic a ç ã o , ID S / S W A N