wi-fi parte 3

download wi-fi parte 3

of 20

  • date post

    30-Nov-2015
  • Category

    Documents

  • view

    6
  • download

    0

Embed Size (px)

Transcript of wi-fi parte 3

IntroduoClique aqui para ver a segunda parteDepois de entrar em detalhes sobre os padres, antenas, conectores, alcance, encriptao, etc. vamos parte "prtica", estudando sobre a configurao da rede. Na grande maioria dos casos, configurar a rede bastante simples, j que os pontos de acesso so produtos de consumo e a idia justamente que eles possam ser configurados por qualquer um, evitando, assim, chamadas ao departamento de suporte do fabricante e devolues de produtos por consumidores que no conseguiram descobrir como configur-los. Apesar disso, existem muitos detalhes e opes escondidas. Vamos ento explorar mais a fundo as opes e entender o porqu de cada uma.Ao contrrio de um hub, que um dispositivo "burro", que trabalha apenas no nvel fsico e dispensa configurao, um ponto de acesso um dispositivo muito mais complexo, que implementa sistemas de criptografia, valida o acesso dos clientes (atravs de passphrases, listas de endereos MAC e assim por diante) e pode ser configurado de diversas formas diferentes, sem falar dos pontos de acesso com funes de servidor de impresso e servidor de arquivos, onde a complexidade ainda maior.Para coordenar tudo isso, o ponto de acesso precisa de um firmware relativamente complexo, que pode ser desde algum sistema proprietrio para sistemas embarcados, como o VXworks, at uma verso compacta do Linux, como no caso do Linksys WRT54GL.Independentemente do sistema usado, a configurao do ponto de acesso feita atravs de uma interface web. Alguns modelos oferecem tambm acesso via telnet ou atravs um software cliente, instalado no PC, mas estas formas alternativas de configurao nunca fizeram muito sucesso, j que o conceito de interface web mais familiar a todos.Acessando o APO primeiro passo localizar o endereo IP, juntamente com o login e a senha padro do ponto de acesso, que so informados nas primeiras pginas do manual, ou em uma etiqueta colada no AP. Uma dica que muitos pontos de acesso so configurados por padro para obter um endereo via DHCP, de forma que o endereo padro s usado se no houver nenhum servidor DHCP disponvel na rede, ou se o AP for diretamente ligado ao PC para a configurao, em vez de ser ligado no switch da rede. Ao comprar um ponto de acesso de segunda mo, aproveite para reset-lo, de forma a ter certeza de que ele est usando as configuraes padro.Se for o caso, voc pode usar onmappara descobrir o endereo IP do AP na base da fora bruta. Para isso, instale o pacote "nmap" usando o gerenciador de pacotes (no Linux), ou baixe-o nohttp://insecure.org/nmap/download.html, onde est disponvel tambm uma verso Windows, que pode ser usada pelo prompt do DOS.Com o programa instalado, use o comando "nmap -sS" no terminal, como root (no Linux), ou usando uma conta com privilgios administrativos (no Windows), seguido da faixa de endereos a ser pesquisada, como em:# nmap -sS 192.168.0.1-254# nmap -sS 192.168.1.1-254# nmap -sS 10.0.0.1-254

O teste do nmap mostra todos os dispositivos com portas abertas, incluindo no apenas os PCs da rede, mas tambm todo tipo de dispositivos com interfaces de rede, como pontos de acesso, vdeo-games, servidores de arquivos, modems ADSL e assim por diante. O teste em cada faixa de endereos demora cerca de 10 segundos. Testando as faixas de endereos mais usadas, voc logo chega ao ponto de acesso, como em:Interesting ports on 192.168.1.187:Not shown: 1679 closed portsPORT STATE SERVICE80/tcp open httpMAC Address: 00:18:4D:D7:D7:D0 (Netgear)

O endereo MAC da Netgear no deixa dvidas de que esse o meu ponto de acesso, que est usando um endereo obtido via DHCP. Se o ponto de acesso estiver utilizando um endereo fora da faixa usada na sua rede, voc precisa apenas alterar o endereo IP do PC, de forma que ele utilize um endereo dentro da mesma faixa do ponto de acesso. Outra opo, mais prtica, adicionar um alias, de forma que seu PC mantenha a configurao atual e passe apenas a usar um IP secundrio, dentro da faixa desejada.No Linux, voc pode adicionar o alias usando o prprio comando ifconfig, adicionando um ":1" (o 1 o nmero do alias, voc pode adicionar vrios) ao nome da interface, como em:# ifconfig eth0:1 192.168.0.23No Windows, a configurao vai dentro do menu "Avanado", dentro das propriedades do TCP/IP:

Vamos ento configurao. Vou utilizar como exemplo um NetGear WG602v3, um ponto de acesso 802.11g "simples" e um Encore ENHWI-G, um modelo de baixo custo que inclui funes de roteador. Vou aproveitar para incluir tambm opes que podem ser encontradas em outros pontos de acesso, de forma que voc tenha uma boa base para configurar qualquer modelo.

Opes bsicasO primeiro passo ajustar os endereos de rede do AP (desativando o cliente DHCP, caso a opes esteja disponvel), de forma que ele passe a utilizar o endereo IP definitivo (voc vai precisar reabrir a conexo no novo endereo). Veja que em ambos os screenshots existe a opo de definir um nome de rede para o AP, que no tem relao com o SSID da rede, que definido na seo "wireless":

Voc pode notar que o AP da Encore (o screenshot direita) oferece um servidor DHCP, o que norma nos roteadores wireless. No meu caso deixo a opo desativada, uma vez que j tenho um servidor DHCP, instalado no servidor Linux da rede.O "Spanning Tree Protocol", disponvel em alguns APs e roteadores, um protocolo de controle, que permite que voc ligue o roteador a duas ou mais portas do switch da rede simultaneamente, para fins de redundncia. Normalmente, isso criaria um loop, que geraria um volume absurdo de trfego na rede, reduzindo drasticamente a velocidade, ou derrubando-a completamente, mas os dispositivos que suportam o protocolo Spanning Tree so capazes de detectar o link duplicado e desativar uma das conexes, deixando-a em stand-by para o caso de falha na primeira. Como voc pode imaginar, esta uma opo bem especfica, mas voc pode deix-la ativa, j que ela no tem efeitos colaterais.No caso dos roteadores wireless, voc tem disponveis tambm opes relacionadas conexo com a web. O link vai ento na porta "WAN", enquanto os demais PCs da rede so ligados s portas do switch integrado. O ponto de acesso faz o papel que seria executado por um PC com duas placas de rede, compartilhando a conexo via NAT. No caso do ENHWI-G, a configurao vai no "Main > WAN":

Ao usar uma conexo via cabo, o endereo obtido automaticamente via DHCP. O servidor remoto libera o acesso apenas para um endereo MAC especfico (o da placa de rede do PC), que cadastrado ao assinar o servio, por isso geralmente oferecida a opo de especificar manualmente o endereo MAC que o roteador usar para se conectar. Isso permite que voc falseie o endereo MAC de conexo ao substituir o PC pelo roteador.Ao usar um modem ADSL, voc poderia tanto configur-lo (modem) como roteador e simplesmente configurar o AP para re-compartilhar a conexo quanto configur-lo como bridge e deixar que o prprio AP efetue a conexo via PPPoE e a compartilhe com os clientes da rede.A opo "Dynamic DNS" que aparece no segundo screenshot um extra, que permite que o ponto de acesso faa a atualizao de um domnio virtual registrado em um dos servios suportados, a mesma funo oferecida por muitos modems ADSL.Funes adicionais, como essa, so uma forma que os fabricantes encontram para tentar diferenciar seus produtos, j que o mercado de equipamentos de rede incrivelmente concorrido. Temos ainda roteadores que alm de compartilharem a conexo, incorporam um modem ADSL, ou mesmo um modem 3G, que permite compartilhar uma conexo EDGE, UTMS ou EVDO (via celular) entre os micros da rede.Parmetros da redeContinuando, temos a configurao dos parmetros da rede wireless, que , afinal, a principal funo do ponto de acesso. Normalmente, ela dividida em duas sees, uma com as configuraes mais bsicas e uma seo "avanada", contendo as demais opes. Vamos comear pelas opes comumente encontradas na seo bsica:

SSID: Tudo comea com o SSID, o "nome" da rede, que permite que diferentes pontos de acesso dentro da mesma rea de cobertura entendam que fazem parte de redes diferentes. Todo ponto de acesso vem com um SSID padro, como "Netgear". importante modific-lo (at por uma questo de segurana), j que os SSIDs default so bem conhecidos e a presena de um AP com um deles incentiva ataques, indicando que o dono pode ter deixado-o com as configuraes default.A sigla SSID abreviao de "Service Set ID". Muitos fabricantes preferem usar o termo "ESSID" (Extended Service Set ID), de forma que os dois termos acabam sendo usados de forma intercambivel.SSID Broadcast: Em seguida temos a opo "SSID Broadcast", que define se o AP deve divulgar o SSID da rede, permitindo que a rede aparea na lista das redes disponveis, ou se ele deve esconder a informao, como uma tentativa de tornar a rede mais difcil de detectar e assim desestimular tentativas de acesso no-autorizado.Como comentei anteriormente, esconder o SSID no muito efetivo para melhorar a segurana, pois o SSID includo nos pacotes transmitidos pelos clientes, de forma que facilmente descoberto por ferramentas de auditoria, como o Kismet. Esconder o SSID pode ajudar a afastar curiosos, mas no ajuda contra ataques mais elaborados.Modo de transmisso: A opo "Mode" (quando disponvel) permite definir se o ponto de acesso operar em modo dual, atendendo clientes 802.11b e 802.11g (b and g), ou se ele ficar limitado a um nico padro (g only). No caso dos APs 802.11n, voc tem a mesma opo, mas pode escolher entre atender apenas clientes 802.11n ou atender tambm os 802.11b/g.Misturar clientes de dois padres diferentes na mesma rede invariavelmente reduz a velocidade de transmisso pois, devido ao uso do meio de transmisso compartilhado (o ar), o ponto de acesso forado a efetivamente reduzir a taxa de transmisso ao atender os clientes mais lentos, o que pode ser um problema grave em redes congestionadas. Se voc possui apenas clientes 802.11g, ou apenas 802.11n na rede, manter a compatibilidade com o padro antigo apenas atrapalha.A principal dica que ao atu