Muito se houve falar sobre (in)Segurança de redes sem fio e há por aí um monte de tutoriais sobre como tornar sua conexão wireless mais protegida. Entretanto esses tutoriais, geralmente, limitam-se a dizer o que fazer sem informar o porquê. Por isso, resolvi dar minha sugestão para se configurar uma rede doméstica sem fio de forma segura, sem me esquecer das razões de cada escolha. Espero que isso possa lhe dar subsídios para decidir sobre sua implementação.

O primeiro passo é escolher um roteador que atenda às necessidades domésticas. Apesar de haver uma grande variedade de roteadores e com inúmeras características, devemos optar por aqueles tenham, no mínimo, capacidade para implementar as configurações sugeridas neste post.

Comprado o roteador e conectados os cabos de rede e energia, devemos trocar a senha padrão antes de qualquer outra coisa. Por incrível que pareça, a maioria dos usuários não troca a senha de fábrica dos roteadores e isso é um prato cheio para atacantes. Não adianta perder tempo configurando a segurança da rede sem fio se a senha de acesso para administração fica exposta. Dessa forma, é possível que acessem o roteador com privilégios administrativos e alterem toda a configuração(inclusive trocando a senha para impedir sua entrada). Como o uso de senhas erradas não bloqueia o usuário no roteador, é bom que usemos chaves com mais de 12 caracteres para evitarmos ataques de força bruta.

Escolher autenticação WPA2-PSK. Apesar de ser inconveniente de se configurar em redes com muitas estações, onde a PSK(Pre-Shared Key - chave pré-compartilhada) deve ser informada em todas elas, essa autenticação traz um nível de segurança tão alto quanto o tamanho da senha usada. Para se quebrar a chave, o atacante deve capturar o tráfego na hora da autenticação e depois usar programas como o jtr para fazer um ataque dicionário. Não julgue ser difícil essa captura, como as estações geralmente se reconectam de forma automática ao roteador sempre que a conexão é desfeita, basta que o atacante envie um comando de desconexão a ambos e esperar a reconexão automática(não é preciso que o atacante esteja conectado ou saiba a senha para fazer isso). Para evitar que o ataque dicionário dê resultados, use senhas grandes. O ideal é que se use senhas de, no mínimo, 30 caracteres porque inviabiliza o uso de ferramentas como o site WPA Cracker. A dica é usar frases e inserir números e caracteres diferentes(mas evite letras acentuadas para prevenir problemas com alguns roteadores). Um bom exemplo seria: O CRUZEIRO tornou-se o MELHOR time desde #1921#!

Desabilite a conexão automática: Quando for criar a conexão em sua estação, não deixe marcada a opção para conectar automaticamente. Isso dificulta o ataque acima e principalmente evita, entre outros, um ataque conhecido como Karma. Esse ataque tem seus resultados entre os mais prejudiciais porque consegue capturar todo o seu tráfego e, em casos mais elaborados, consegue até interceptar uma conexão bancária e fazer, em sua conta, operações de transferências, pagamentos etc.

Fazer filtro de MAC e ocultar o SSID: Acho isso tão eficaz quanto amarrar cachorro com linguiça. O pior é que isso lhe dá uma falsa segurança, fazendo com que se julgue protegido e deixe de tomar as precauções anteriores. Um atacante pode ver o SSID e capturar o MAC de sua estação só de "escutar" a conexão entre você e o roteador porque esses dados não são criptografados. Ao mesmo tempo, pode facilmente mudar o MAC da estação dele para ser igual ao seu.

Ainda há outras medidas importantes como desabilitar acesso ao roteador via Web ou via rede sem fio e desabilitar Telnet e FTP, caso seu roteador tenha essas possibilidades. Mas posso garantir que, com as medidas sugeridas, sua rede doméstica passa a ter um nível de segurança muito bom. Claro que isso não é motivo para se julgar tão protegido e acabar se descuidando de outras medidas como uso de firewall e antivírus.