CERT.br

Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil

Cartilha de Segurança para Internet

Ir para o conteúdo

13. Segurança de redes

[Segurança de redes]

Inicialmente, grande parte dos acessos à Internet eram realizados por meio de conexão discada com velocidades que dificilmente ultrapassavam 56 Kbps. O usuário, de posse de um modem e de uma linha telefônica, se conectava ao provedor de acesso e mantinha esta conexão apenas pelo tempo necessário para realizar as ações que dependessem da rede.

Desde então, grandes avanços ocorreram e novas alternativas surgiram, sendo que atualmente grande parte dos computadores pessoais ficam conectados à rede pelo tempo em que estiverem ligados e a velocidades que podem chegar a até 100 Mbps1. Conexão à Internet também deixou de ser um recurso oferecido apenas a computadores, visto a grande quantidade de equipamentos com acesso à rede, como dispositivos móveis, TVs, eletrodomésticos e sistemas de áudio.

Independente do tipo de tecnologia usada, ao conectar o seu computador à rede ele pode estar sujeito a ameaças, como:

Furto de dados: informações pessoais e outros dados podem ser obtidos tanto pela interceptação de tráfego como pela exploração de possíveis vulnerabilidades existentes em seu computador.
Uso indevido de recursos: um atacante pode ganhar acesso a um computador conectado à rede e utilizá-lo para a prática de atividades maliciosas, como obter arquivos, disseminar spam, propagar códigos maliciosos, desferir ataques e esconder a real identidade do atacante.
Varredura: um atacante pode fazer varreduras na rede, a fim de descobrir outros computadores e, então, tentar executar ações maliciosas, como ganhar acesso e explorar vulnerabilidades (mais detalhes na Seção 3.2 do Capítulo Ataques na Internet).
Interceptação de tráfego: um atacante, que venha a ter acesso à rede, pode tentar interceptar o tráfego e, então, coletar dados que estejam sendo transmitidos sem o uso de criptografia (mais detalhes na Seção 3.4 do Capítulo Ataques na Internet).
Exploração de vulnerabilidades: por meio da exploração de vulnerabilidades, um computador pode ser infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevidamente coletados e ser usado para a propagação de códigos maliciosos. Além disto, equipamentos de rede (como modems e roteadores) vulneráveis também podem ser invadidos, terem as configurações alteradas e fazerem com que as conexões dos usuários sejam redirecionadas para sites fraudulentos.
Ataque de negação de serviço: um atacante pode usar a rede para enviar grande volume de mensagens para um computador, até torná-lo inoperante ou incapaz de se comunicar.
Ataque de força bruta: computadores conectados à rede e que usem senhas como método de autenticação, estão expostos a ataques de força bruta. Muitos computadores, infelizmente, utilizam, por padrão, senhas de tamanho reduzido e/ou de conhecimento geral dos atacantes.
Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e informações que por ele passem a trafegar.

Nas próximas seções são apresentados os cuidados gerais e independentes de tecnologia que você ter ao usar redes, os tipos mais comuns de acesso à Internet, os riscos adicionais que eles podem representar e algumas dicas de prevenção.

[1] Estes dados baseiam-se nas tecnologias disponíveis no momento de escrita desta Cartilha. voltar

13.1. Cuidados gerais

Alguns cuidados que você deve tomar ao usar redes, independentemente da tecnologia, são:

  • mantenha seu computador atualizado, com as versões mais recentes e com todas as atualizações aplicadas (mais detalhes no Capítulo Segurança de computadores);
  • utilize e mantenha atualizados mecanismos de segurança, como programa antimalware e firewall pessoal (mais detalhes no Capítulo Mecanismos de segurança);
  • seja cuidadoso ao elaborar e ao usar suas senhas (mais detalhes no Capítulo Contas e senhas);
  • utilize conexão segura sempre que a comunicação envolver dados confidenciais (mais detalhes na Seção 10.1 do Capítulo Uso seguro da Internet);
  • caso seu dispositivo permita o compartilhamento de recursos, desative esta função e somente a ative quando necessário e usando senhas difíceis de serem descobertas.

13.2. Wi-Fi

Wi-Fi (Wireless Fidelity) é um tipo de rede local que utiliza sinais de rádio para comunicação. Possui dois modos básicos de operação:

Infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point - AP) ou um roteador wireless.
Ponto a ponto (ad-hoc): permite que um pequeno grupo de máquinas se comunique diretamente, sem a necessidade de um AP.

Redes Wi-Fi se tornaram populares pela mobilidade que oferecem e pela facilidade de instalação e de uso em diferentes tipos de ambientes. Embora sejam bastante convenientes, há alguns riscos que você deve considerar ao usá-las, como:

  • por se comunicarem por meio de sinais de rádio, não há a necessidade de acesso físico a um ambiente restrito, como ocorre com as redes cabeadas. Devido a isto, os dados transmitidos por clientes legítimos podem ser interceptados por qualquer pessoa próxima com um mínimo de equipamento (por exemplo, um notebook ou tablet);
  • por terem instalação bastante simples, muitas pessoas as instalam em casa (ou mesmo em empresas, sem o conhecimento dos administradores de rede), sem qualquer cuidado com configurações mínimas de segurança, e podem vir a ser abusadas por atacantes, por meio de uso não autorizado ou de "sequestro"2;
  • em uma rede Wi-Fi pública (como as disponibilizadas em aeroportos, hotéis e conferências) os dados que não estiverem criptografados podem ser indevidamente coletados por atacantes;
  • uma rede Wi-Fi aberta pode ser propositadamente disponibilizada por atacantes para atrair usuários, a fim de interceptar o tráfego (e coletar dados pessoais) ou desviar a navegação para sites falsos.

Para resolver alguns destes riscos foram desenvolvidos mecanismos de segurança, como:

WEP (Wired Equivalent Privacy): primeiro mecanismo de segurança a ser lançado. É considerado frágil e, por isto, o uso deve ser evitado.
WPA (Wi-Fi Protected Access): mecanismo desenvolvido para resolver algumas das fragilidades do WEP. É o nível mínimo de segurança que é recomendado.
WPA-2: similar ao WPA, mas com criptografia considerada mais forte. É o mecanismo mais recomendado.

Cuidados a serem tomados:

  • habilite a interface de rede Wi-Fi do seu computador ou dispositivo móvel somente quando usá-la e desabilite-a após o uso;
  • desabilite o modo ad-hoc (use-o apenas quando necessário e desligue-o quando não precisar). Alguns equipamentos permitem inibir conexão com redes ad-hoc, utilize essa função caso o dispositivo permita;
  • use, quando possível, redes que oferecem autenticação e criptografia entre o cliente e o AP (evite conectar-se a redes abertas ou públicas, sem criptografia, especialmente as que você não conhece a origem);
  • considere o uso de criptografia nas aplicações, como por exemplo, PGP para o envio de e-mails, SSH para conexões remotas ou ainda VPNs;
  • evite o acesso a serviços que não utilizem conexão segura ("https");
  • evite usar WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o mecanismo seja facilmente quebrado;
  • use WPA2 sempre que disponível (caso seu dispositivo não tenha este recurso, utilize no mínimo WPA).

Cuidados ao montar uma rede sem fio doméstica:

  • posicione o AP longe de janelas e próximo ao centro de sua casa a fim de reduzir a propagação do sinal e controlar a abrangência (conforme a potência da antena do AP e do posicionamento no recinto, sua rede pode abranger uma área muito maior que apenas a da sua residência e, com isto, ser acessada sem o seu conhecimento ou ter o tráfego capturado por vizinhos ou pessoas que estejam nas proximidades);
  • altere as configurações padrão que acompanham o seu AP. Alguns exemplos são:
    • altere as senhas originais, tanto de administração do AP como de autenticação de usuários;
    • assegure-se de utilizar senhas bem elaboradas e difíceis de serem descobertas (mais detalhes no Capítulo Contas e senhas);
    • altere o SSID (Server Set IDentifier);
    • ao configurar o SSID procure não usar dados pessoais e nem nomes associados ao fabricante ou modelo, pois isto facilita a identificação de características técnicas do equipamento e pode permitir que essas informações sejam associadas a possíveis vulnerabilidades existentes;
    • desabilite a difusão (broadcast) do SSID, evitando que o nome da rede seja anunciado para outros dispositivos;
    • desabilite o gerenciamento do AP via rede sem fio, de tal forma que, para acessar funções de administração, seja necessário conectar-se diretamente a ele usando uma rede cabeada. Desta maneira, um possível atacante externo (via rede sem fio) não será capaz de acessar o AP para promover mudanças na configuração.
  • não ative WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o mecanismo seja facilmente quebrado;
  • utilize WPA2 ou, no mínimo, WPA;
  • caso seu AP disponibilize WPS (Wi-Fi Protected Setup), desabilite-o a fim de evitar acessos indevidos;
  • desligue seu AP quando não usar sua rede.
[2] Por sequestro de rede Wi-Fi entende-se uma situação em que um terceiro ganha acesso à rede e altera configurações no AP para que somente ele consiga acessá-la. voltar

13.3. Bluetooth

Bluetooth é um padrão para tecnologia de comunicação de dados e voz, baseado em radiofrequência e destinado à conexão de dispositivos em curtas distâncias, permitindo a formação de redes pessoais sem fio. Está disponível em uma extensa variedade de equipamentos, como dispositivos móveis, videogames, mouses, teclados, impressoras, sistemas de áudio, aparelhos de GPS e monitores de frequência cardíaca. A quantidade de aplicações também é vasta, incluindo sincronismo de dados entre dispositivos, comunicação entre computadores e periféricos e transferência de arquivos.

Embora traga muitos benefícios, o uso desta tecnologia traz também riscos, visto que está sujeita às várias ameaças que acompanham as redes em geral, como varredura, furto de dados, uso indevido de recursos, ataque de negação de serviço, interceptação de tráfego e ataque de força bruta.

Um agravante, que facilita a ação dos atacantes, é que muitos dispositivos vêm, por padrão, com o bluetooth ativo. Desta forma, muitos usuários não percebem que possuem este tipo de conexão ativa e não se preocupam em adotar uma postura preventiva.

Cuidados a serem tomados:

  • mantenha as interfaces bluetooth inativas e somente as habilite quando fizer o uso;
  • configure as interfaces bluetooth para que a opção de visibilidade seja "Oculto" ou "Invisível", evitando que o nome do dispositivo seja anunciado publicamente. O dispositivo só deve ficar rastreável quando for necessário autenticar-se a um novo dispositivo ("pareamento");
  • altere o nome padrão do dispositivo e evite usar na composição do novo nome dados que identifiquem o proprietário ou características técnicas do dispositivo;
  • sempre que possível, altere a senha (PIN) padrão do dispositivo e seja cuidadoso ao elaborar a nova (mais detalhes no Capítulo Contas e senhas);
  • evite realizar o pareamento em locais públicos, reduzindo as chances de ser rastreado ou interceptado por um atacante;
  • fique atento ao receber mensagens em seu dispositivo solicitando autorização ou PIN (não responda à solicitação se não tiver certeza que está se comunicando com o dispositivo correto);
  • no caso de perda ou furto de um dispositivo bluetooth, remova todas as relações de confiança já estabelecidas com os demais dispositivos que possui, evitando que alguém, de posse do dispositivo roubado/perdido, possa conectar-se aos demais.

13.4. Banda larga fixa

Banda larga fixa é um tipo de conexão à rede com capacidade acima daquela conseguida, usualmente, em conexão discada via sistema telefônico. Não há uma definição de métrica de banda larga que seja aceita por todos, mas é comum que conexões deste tipo sejam permanentes e não comutadas, como as discadas. Usualmente, compreende conexões com mais de 100 Kbps, porém esse limite é muito variável de país para país e de serviço para serviço3.

Computadores conectados via banda larga fixa, geralmente, possuem boa velocidade de conexão, mudam o endereço IP com pouca frequência e ficam conectados à Internet por longos períodos. Por estas características, são visados por atacantes para diversos propósitos, como repositório de dados fraudulentos, para envio de spam e na realização de ataques de negação de serviço.

O seu equipamento de banda larga (modem ADSL, por exemplo) também pode ser invadido, pela exploração de vulnerabilidades ou pelo uso de senhas fracas e/ou padrão (facilmente encontradas na Internet). Caso um atacante tenha acesso ao seu equipamento de rede, ele pode alterar configurações, bloquear o seu acesso ou desviar suas conexões para sites fraudulentos.

Cuidados a serem tomados:

  • altere, se possível, a senha padrão do equipamento de rede (verifique no contrato se isto é permitido e, caso seja, guarde a senha original e lembre-se de restaurá-la quando necessário);
  • desabilite o gerenciamento do equipamento de rede via Internet (WAN), de tal forma que, para acessar funções de administração (interfaces de configuração), seja necessário conectar-se diretamente a ele usando a rede local (desta maneira, um possível atacante externo não será capaz de acessá-lo para promover mudanças na configuração).

13.5. Banda Larga Móvel

A banda larga móvel refere-se às tecnologias de acesso sem fio, de longa distância, por meio da rede de telefonia móvel, especialmente 3G e 4G4.

Este tipo de tecnologia está disponível em grande quantidade de dispositivos móveis (como celulares, smartphones e tablets) e é uma das responsáveis pela popularização destes dispositivos e das redes sociais. Além disto, também pode ser adicionada a computadores e dispositivos móveis que ainda não tenham esta capacidade, por meio do uso de modems específicos.

Assim como no caso da banda larga fixa, dispositivos com suporte a este tipo de tecnologia podem ficar conectados à Internet por longos períodos e permitem que o usuário esteja online, independente de localização. Por isto, são bastante visados por atacantes para a prática de atividades maliciosas.

Cuidados a serem tomados:

  • aplique os cuidados básicos de segurança, apresentados na Seção 13.1.
[4] 3G e 4G correspondem, respectivamente, à terceira e quarta gerações de padrões de telefonia móvel definidos pela International Telecommunication Union - ITU. voltar

Licença Creative Commons CERT.br Cartilha de Segurança para Internet - CERT.br - $Date: 2012/06/03 01:41:42 $

Site acessível via IPv6 CSS Válido Desenvolvido em HTML 5