Segurana

A maior dvida sobre o uso de redes sem fio recai sobre o fator segurana. Com um transmissor irradiando os dados transmitidos atravs da rede em todas as direes, como impedir que qualquer um possa se conectar a ela e roubar seus dados? Como disse acima, um ponto de acessoinstalado prximo janela da sala provavelmente permitir que um vizinho a dois quarteires da sua casa consiga captar o sinal da sua rede, uma preocupao agravada pela popularidade que as redes sem fio vm ganhando. Alguns kits permitem ainda conectar antenas Yagi, ou outras antenas de longo alcance nas interfaces de rede, o que aumenta ainda mais o alcance dos sinais, que com as antenas especiais pode chegar a mais de 500 metros. Veremos isto com mais detalhes logo adiante. Para garantir a segurana, existem vrios sistemas que podem ser implementados, apesar de nem sempre eles virem ativados por default nos pontos de acesso. Todo ponto de acesso 802.11b, mesmo os de baixo custo, oferece algum tipo de ferramenta de administrao. Alguns podem ser acessados via web, como alguns modems ADSL e switches, onde basta digitar no browser de uma das mquinas da rede o endereo IP do ponto de acesso e a porta do servio. Neste caso, qualquer PC da rede (um um intruso que se conecte a ela) pode acessar a ferramenta de configurao. Para se proteger voc deve alterar a senha de acesso default e se possvel tambm alterar a porta usada pelo servio. Assim voc ter duas linhas de proteo. Mesmo que algum descubra a senha ainda precisar descobrir qual porta o utilitrio est escutando e assim por diante. Em outros casos ser necessrio instalar um programa num dos micros da rede para configurar o ponto de acesso, mas valem as mesmas medidas de alterar a senha default e se possvel a porta TCP utilizada pelo servio. Dentro do utilitrio de configurao voc poder habilitar os recursos de segurana. Na maioria dos casos todos os recursos abaixo vem desativados por default a fim de que a rede funcione imediatamente, mesmo antes de qualquer coisa ser configurada. Para os fabricantes, quanto mais simples for a instalao da rede, melhor, pois haver um nmero menor de usurios insatisfeitos por no conseguir fazer a coisa funcionar. Mas, voc no qualquer um. Vamos ento s configuraes:

ESSID
A primeira linha de defesa o ESSID (Extended Service Set ID), um cdigo alfanumrico que identifica os computadores e pontos de acesso que fazem parte da rede. Cada fabricante utiliza um valor default para esta opo, mas voc deve alter-la para um valor alfanumrico qualquer que seja difcil de adivinhar. Geralmente estar disponvel no utilitrio de configurao do ponto de acesso a opo broadcast ESSID. Ao ativar esta opo o ponto de acesso envia periodicamente o cdigo ESSID da rede, permitindo que todos os clientes prximos possam conectar-se na rede sem saber prviamente o cdigo. Ativar esta opo significa abrir mo desta camada de segurana, em troca de tornar a rede mais plug-and-play. Voc no precisar mais configurar manualmente o cdigo ESSID em todos os micros. Esta uma opo desejvel em redes de acesso pblico, como muitas redes implantadas em escolas, aeroportos, etc. mas caso a sua preocupao maior seja a segurana, o melhor desativar a opo. Desta forma, apenas quem souber o valor ESSID poder acessar a rede.

WEP

Apenas o ESSID, oferece uma proteo muito fraca. Mesmo que a opo broadcast ESSID esteja desativada, j existem sniffers que podem descobrir rapidamente o ESSID da rede monitorando o trfego de dados. Heis que surge o WEP, abreviao de Wired-Equivalent Privacy, que como o nome sugere traz como promessa um nvel de segurana equivalente das redes cabeadas. Na prtica o WEP tambm tem suas falhas, mas no deixa de ser uma camada de proteo essencial, muito mais difcil de penetrar que o ESSID sozinho. O WEP se encarrega de encriptar os dados transmitidos atravs da rede. Existem dois padres WEP, de 64 e de 128 bits. O padro de 64 bits suportado por qualquer ponto de acesso ou interface que siga o padro WI-FI, o que engloba todos os produtos comercializados atualmente. O padro de 128 bits por sua vez no suportado por todos os produtos. Para habilit-lo ser preciso que todos os componentes usados na sua rede suportem o padro, caso contrrio os ns que suportarem apenas o padro de 64 bits ficaro fora da rede. Na verdade, o WEP composto de duas chaves distintas, de 40 e 24 bits no padro de 64 bits e de 104 e 24 bits no padro de 128. Por isso, a complexidade encriptao usada nos dois padres no a mesma que seria em padres de 64 e 128 de verdade. Alm do detalhe do nmero de bits nas chaves de encriptao, o WEP possui outras vulnerabilidades. Alguns programas j largamente disponveis so capazes de quebrar as chaves de encriptao caso seja possvel monitorar o trfego da rede durante algumas horas e a tendncia que estas ferramentas se tornem ainda mais sofisticadas com o tempo. Como disse, o WEP no perfeito, mas j garante um nvel bsico de proteo. O WEP vem desativado na grande maioria dos pontos de acesso, mas pode ser facilmente ativado atravs do utilitrio de configurao. O mais complicado que voc precisar definir manualmente uma chave de encriptao (um valor alfanumrico ou hexadecimal, dependendo do utilitrio) que dever ser a mesma em todos os pontos de acesso e estaes da rede. Nas estaes a chave, assim como o endereo ESSID e outras configuraes de rede podem ser definidas atravs de outro utilitrio, fornecido pelo fabricante da placa. Um detalhe interessante que apartir do incio de 2002 os pontos de acesso devem comear a suportar o uso de chaves de encriptao dinmicas, que no exigiro configurao manual. Ao adquirir um ponto de acesso agora importante verificar se ele pode ser atualizado via software, para que mais tarde voc possa instalar correes e suporte a novos padres e tecnologias.

RADIUS
Este um padro de encriptao proprietrio que utiliza chaves de encriptao de 128 bits reais, o que o torna muito mais seguro que o WEP. Infelizmente este padro suportado apenas por alguns produtos. Se estiver interessado nesta camada extra de proteo, voc precisar pesquisar quais modelos suportam o padro e selecionar suas placas e pontos de acesso dentro desse crculo restrito. Os componentes geralmente sero um pouco mais caro, j que voc estar pagando tambm pela camada extra de encriptao.

Permisses de acesso
Alm da encriptao voc pode considerar implantar tambm um sistema de segurana baseado em permisses de acesso. O Windows 95/98/ME permite colocar senhas nos compartilhamentos, enquanto o Windows NT, 2000 Server ou ainda o Linux, via Samba, j permitem uma segurana mais refinada, baseada em permisses de acesso por endereo IP, por usurio, por grupo, etc. Usando estes recursos, mesmo que algum consiga penetrar na sua rede, ainda ter que quebrar a segurana do sistema operacional para conseguir chegar aos seus arquivos. Isso vale no apenas para redes sem fio, mas tambm para redes cabeadas, onde qualquer um que tenha acesso a um dos cabosou a um PC conectado rede um invasor em potencial. Alguns pontos de acesso oferecem a possibilidade de estabelecer uma lista com as placas que tm permisso para utilizar a rede e rejeitar qualquer tentativa de conexo de placas no autorizadas.

O controle feito atravs dos endereos MAC das placas, que precisam ser includos um a um na lista de permisses, atravs do utilitrio do ponto de acesso. Muitos oferecem ainda a possibilidade de estabelecer senhas de acesso. Somando o uso de todos os recursos acima, a rede sem fio pode tornar-se at mais segura do que uma rede cabeada, embora implantar tantas camadas de proteo torne a implantao da rede muito mais trabalhosa.

Como so dados so transmitidos e interferncia

As redes 802.11b transmitem sinais de rdio na faixa dos 2.4 GHz utilizando um modo de transmisso chamado Direct Sequence Spread Spectrum, onde o transmissor escolhe uma frequncia onde no existam outras transmisses e se mantm nela durante o perodo de operao, a menos que o nvel de interferncia atinja um ponto crtico. Neste caso os transmissores procuraro outra frequncia disponvel. O padro 802.11b utiliza frequncias entre 2.4 e 2.48 GHz, com um total de 11 canais disponveis (2.412, 2.417, 2.422, 2.427, 2.432, 2.437, 2.442, 2.447, 2.452, 2.457 e 2.462 GHz). Os transmissores podem utilizar qualquer uma das faixas em busca da banda mais limpa, o que j garante alguma flexibilidade contra interferncias. Apesar disso, as redes 802.11b possuem pelo menos quatro inimigos importantes: os transmissores bluetooth, telefones sem fio que operam na faixa dos 2.4 GHz, aparelhos de microondas e outros pontos de acesso 802.11b prximos. Em nenhum dos quatro casos existe o risco da rede chegar a sair fora do ar (mesmo em casos extremos), mas existe a possibilidade de haver uma degradao de desempenho considervel. O Bluetooth costuma ser o mais temido, pois tambm um padro de redes sem fio e tambm opera na faixa dos 2.4 GHz. Mas, na prtica, o Bluetooth o menos perigoso dos quatro, pois utiliza um modo de transmisso diferente do 802.11b, chamado Frequency Hop Spread Spectrum, onde os transmissores mudam constantemente de frequncia, dentro do conjunto de 79 canais permitido pelo padro. Esta uma forma de evitar interferncia com outros transmissores Bluetooth prximos, j que a sequncia conhecida apenas pelos dispositivos envolvidos e, em consequncia, tambm evita uma interferncia direta com transmissores 802.11b. Na prtica, os transmissores Bluetooth podem causar uma pequena perda de desempenho nos momentos em que tentarem transmitir na mesma frequncia dos transmissores 802.11b. Mas, como o chaveamento muito rpido, isto s chega a ser um problema nas transmisses de vdeo ou outros tipos de mdia via streaming, onde qualquer pequena pausa j atrapalha a visualizao. Os modelos de telefone sem fio que operam na faixa dos 2.4 GHz so um pouco mais perigosos, j que ao contrrio do bluetooth operam a uma frequncia fixa. Neste caso o telefone pode invadir a frequncia utilizada pela rede, prejudicando a velocidade de transmisso enquanto estiver sendo usado. Os aparelhos de microondas tambm utilizam ondas de rdio nesta mesma faixa de frequncia e por isso tambm podem atrapalhar, embora apenas caso fiquem muito prximos dos transmissores. Caso o microondas fique a pelo menos 6 metros, no haver maiores problemas. Finalmente, chegamos ao problema final. O que acontece caso todos os seus vizinhos resolvam utilizar redes 802.11b, ou caso voc precise utilizar vrios pontos de acesso na mesma rede? Como disse acima, os dispositivos de cada rede podem utilizar qualquer um dos 11 canais permitidos pelo padro. Mas existe um porm: dos 11, apenas 3 canais podem ser utilizados simultneamente, pois os transmissores precisam de uma faixa de 22 MHz para operar. Se existirem at 3 transmissores na mesma rea, no haver problemas, pois cada um poder utilizar um canal diferente. Com 4 ou mais pontos de acesso voc ter perda de desempenho sempre que dois tentarem transmitir dados simultneamente. Na prtica, o cenrio parecido com o que temos numa rede Ethernet. Como o Hub encaminha todos os pacotes para todas as estaes, apenas uma estao pode transmitir de cada vez. Sempre que duas estaes tentam transmitir ao mesmo tempo, temos uma coliso de pacotes e a

rede fica paralisada por alguns milessegundos, at que as estaes possam voltar a retransmitir, uma de cada vez. No 802.11b temos um cenrio parecido. Com vrios pontos de acesso operando no mesmo canal, as transmisses precisam ser feitas de forma alternada. Na melhor das hipteses, voc no ter 11 megabits para cada um, mas 11 megabits para todos. Naturalmente isso s se aplica nos momentos em que ambos transmitirem ao mesmo tempo. Mais uma curiosidade que possvel aproveitar os trs canais simultneos para utilizar dois ou trs pontos de acesso no mesmo local, como uma forma de aumentar a performance da rede (no caso de redes muito movimentadas, com muitas estaes), dividindo os usurios entre os pontos de acesso disponveis. Existem alguns casos de pontos de acesso que trabalham simultneamente nas trs frequncias, como se fosse trs pontos de acesso distintos.

Aumentando o alcance
Assim como em outras tecnologias de transmisso via rdio, a distncia que o sinal capaz de percorrer depende tambm da qualidade da antena usada. As antenas padro utilizadas nos pontos de acesso, geralmente de 2 dBi so pequenas e prticas, alm de relativamente baratas, mas existe a opo de utilizar antenas mais sofisticadas para aumentar o alcance da rede.

Ponto de acesso com as antenas padro. Alguns fabricantes chegam a dizer que o alcance dos seus pontos de acesso chega a 300 metros, usando as pequenas antenas padro. Isto est um pouco longe da realidade, pois s pode ser obtido em campos abertos, livres de qualquer obstculo e mesmo assim o sinal ficaria to fraco que a velocidade de transmisso mal chegaria a 1 megabit. Mesmo assim, a distncia mxima e a qualidade do sinal (e consequentemente a velocidade de transmisso) pode variar bastante de um modelo de ponto de acesso para outro, de acordo com a qualidade do transmissor e da antena usada pelo fabricante. Existem basicamente trs tipos de antenas que podem ser utilizadas para aumentar o alcance da rede. As antenas Yagi, so as que oferecem um maior alcance, mas em compensao so capazes de cobrir apenas a rea para onde so apontadas. Estas antenas so mais teis para cobrir alguma rea especfica, longe do ponto de acesso, ou ento para um usurio em trnsito, que precisa se conectar rede. Em ambos os casos, o alcance utilizando uma antena Yagi pode passar dos 500 metros.

Antena Yagi

A segunda opo so as antenas ominidirecionais, que, assim como as antenas padro dos pontos de acesso, cobrem uma rea circular (ou esfrica, caso o ponto de acesso esteja instalado acima do solo) em torno da antena. A vantagem a possibilidade de utilizar uma antena com uma maior potncia. Existem modelos de antenas ominidirecionais de 3dbi, 5 dBi, 10 dBi ou at mesmo 15 dBi, um grande avano sobre as antenas de 2 dBi que acompanham a maioria dos pontos de acesso.

Antenas ominidirecionais Assim como as Yagi, as antenas ominidirecionais podem ser usadas tanto para aumentar a rea de cobertura do ponto de acesso, quanto serem instaladas numa interface de rede, em substituio antena que a acompanha, permitindo captar o sinal do ponto de acesso de uma distncia maior. Mais uma opo de antena so as mini-parablicas, que tambm captam o sinal em apenas uma direo, como as Yagi, mas em compensao podem ter uma potncia ainda maior, dependendo do modelo usado.

Mini-Parablica

Estas antenas podem custar de 30 a mais de 200 dlares, dependendo da potncia. As antenas Yagi esto entre as mais caras, vendidas por US$ 150 ou mais. Alm do problema do preo, existe um aumento no risco de uso indevido na rede, j que o sinal ir propagar-se por uma distncia maior, mais uma razo para reforar a segurana.

Modo Ad-hoc
Assim como possvel ligar dois micros diretamente usando duas placas Ethernet e um cabo cross-over, sem usar hub, tambm possvel criar uma rede Wireless entre dois PCs sem usar um ponto de acesso. Basta configurar ambas as placas para operar em modo Ad-hoc (atravs do utilitrio de configurao). A velocidade de transmisso a mesma, mas o alcance do sinal bem menor, j que os transmissores e antenas das interfaces no possuem a mesma potncia do ponto de acesso.

Este modo pode servir para pequenas redes domsticas, com dois PCs prximos, embora mesmo neste caso seja mais recomendvel utilizar um ponto de acesso, interligado ao primeiro PC atravs de uma placa Ethernet e usar uma placa wireless no segundo PC ou notebook, j que a diferenas entre o custo das placas e pontos de acesso no muito grande.

A questo do custo
O custo ainda uma questo delicada em se tratando de redes sem fio. Mais delicada ainda para tratar aqui, j que vou ter que usar minhas capacidades medinicas e tentar fazer um exerccio de futurologia :-) Mas falando srio, o mercado de redes sem fio ainda est em expanso. Existe um grande interesse por parte dos fabricantes em popularizar a tecnologia pois os perifricos para redes Ethernet j esto to baratos que a margem de lucro dos fabricantes, mesmo dos que vendem solues mais caras, como a Intel e 3Com irrisria. Alm disso, eles s conseguem vender novos componentes para quem ainda no tem redes, j que placas de rede e Hubs so componentes bastante durveis, na maioria das vezes aproveitados em vrios upgrades. As redes sem fio so a chance de conseguir convencer os usurios a trocar boa parte da base instalada. Enquanto escrevo (Dezembro de 2001) os pontos de acesso ainda custam de 150 e 250 dlares e as interfaces de rede custam de 100 a 150 dlares, em mdia. Nos EUA os valores j esto um pouco mais baixos que isto e no Japo os pontos de acesso e interfaces chegam a ser vendidas por 100 e 60 dlares respectivamente. Sem dvida, os componentes para redes sem fio vo continuar sendo mais caros que os para redes Ethernet por muito tempo. Alm dos controladores existem os transmissores e as antenas, que aumentam bastante o custo total do conjunto. Mas o futuro parece promissor. Conforme a tecnologia for se popularizando e os fabricantes comearem a produzir os componentes em maior quantidade, os preos devem cair para algo prximo de 70 dlares pelos pontos de acesso e 50 dlares pelas interfaces de rede ao longo de 2002. Outro detalhe importante que vrios fabricantes de placas me vm apresentando projetos de placas com interfaces 802.11b onboard. A primeira foi a Intel, com uma placa de referncia apresentada durante a Comdex (a Americana) em Novembro de 2001. As placas com interfaces onboard sero sem dvidas muito mais baratas do que o conjunto de placas me e uma placa 802.11b separada e passaro a representar uma percentagem considervel do total de placas vendidas at a segunda metade de 2002, o que poder ser decisivo para a popularizao da tecnologia. Mas, como vimos, as redes sem fio podem ser usadas como complemento para as redes cabeadas que j existem. Esta a aplicao ideal, considerando que a velocidade mais baixa e o custo mais alto. O melhor custo benefcio seria ento usar uma rede cabeada para interligar todos os desktops, ligar um ponto de acesso ao hub e usar placas wireless apenas nos notebooks e outros aparelhos portteis. Se a preocupao for a segurana, possvel incluir ainda um firewall entre a rede cabeada e a rede sem fio. Mas, no existe garantia que o 802.11b seja mesmo o padro definitivo. O maior concorrente o 802.11a, que menos susceptvel a interferncias mais rpido.

IEEE 802.11a
O 802.11b utiliza a frequncia de 2.4 GHz, a mesma utilizada por outros padres de rede sem fio e pelos microondas, todos potenciais causadores de interferncia. O 802.11a por sua vez utiliza a frequncia de 5 GHz, onde a interferncia no problema. Graas frequncia mais alta, o padro tambm quase cinco vezes mais rpido, atingindo respeitveis 54 megabits.

Note que esta a velocidade de transmisso bruta que inclui todos os sinais de modulao, cabealhos de pacotes, correo de erros, etc. a velocidade real das redes 802.11a de 24 a 27 megabits por segundo, pouco mais de 4 vezes mais rpido que no 802.11b. Outra vantagem que o 802.11a permite um total de 8 canais simultneos, contra apenas 3 canais no 802.11b. Isso permite que mais pontos de acesso sejam utilizados no mesmo ambiente, sem que haja perda de desempenho. O grande problema que o padro tambm mais caro, por isso a primeira leva de produtos vai ser destinada ao mercado corporativo, onde existe mais dinheiro e mais necessidade de redes mais rpidas. Alm disso, por utilizarem uma frequncia mais alta, os transmissores 8021.11a tambm possuem um alcance mais curto, teoricamente metade do alcance dos transmissores 802.11b, o que torna necessrio usar mais pontos de acesso para cobrir a mesma rea, o que contribui para aumentar ainda mais os custos. A diferena de custo vai se manter por um ou dois anos. de se esperar ento que as redes de 11 megabits continuem se popularizando no mercado domstico, enquanto as de 54 megabits ganhem terreno no mercado corporativo, at que um dia o preo dos dois padres se nivele e tenhamos uma transio semelhante das redes Ethernet de 10 para 100 megabits. Ao contrrio do que o nome sugere, o 802.11a um padro mais recente do que o 802.11b. Na verdade, os dois padres foram propostos pelo IEEE na mesma poca, mas o 802.11b foi finalizado antes e por isso chegou ao mercado com mais de 6 meses de antecedncia. Os primeiros perifricos 802.11a foram lanados em Novembro de 2001.

IEEE 802.11g
Este um padro recentemente aprovado pelo IEEE, que capaz de transmitir dados a 54 megabits, assim como o 802.11a. A principal novidade que este padro utiliza a mesma faixa de frequncia do 802.11b atual: 2.4 GHz. Isso permite que os dois padres sejam intercompatveis. A idia que voc possa montar uma rede 802.11b agora e mais pra frente adicionar placas e pontos de acesso 802.11g, mantendo os componentes antigos, assim como hoje em dia temos liberdade para adicionar placas e hubs de 100 megabits a uma rede j existente de 10 megabits. A velocidade de transferncia nas redes mistas pode ou ser de 54 megabits ao serem feitas transferncias entre pontos 802.11g e de 11 megabits quando um dos pontos 801.11b estiver envolvido, ou ento ser de 11 megabits em toda a rede, dependendo dos componentes que forem utilizados. Esta uma grande vantagem sobre o 802.11a, que tambm transmite a 54 megabits, mas incompatvel com os outros dois padres. Os primeiros produtos baseados no 802.11g devem chegar ao mercado apartir do final de 2002, um ano depois da primeira leva do 802.11a, que o concorrente direto. Isso significa que a popularidade do 802.11g ser determinada pelo sucesso do concorrente. Se o 802.11a for rapidamente adotado e chegar a substituir o 802.11b at l, os perifricos 802.11g tero pouca chance e talvez nem cheguem a ser lanados, j que seria uma guerra perdida. Se por outro lado a maioria dos usurios preferir os dispositivos 802.11b, ento o 802.11g ter chances de dominar o mercado.

Home PNA
Este um padro para transmisso de dados atravs de cabos telefnicos comuns a curtas distncias. A idia que os usurios interessados em montar uma rede domstica mas que no tenham como passar cabos de rede pela casa, possam aproveitar as extenses telefnicas j existentes para ligar seus micros em rede. Existem duas verses deste padro: a verso 1.0, j obsoleta, transmite a apenas 1 mbps, muito pouco se comparado s redes Ethernet, enquanto a verso 2.0 j transmite a 10 mbps, uma velocidade prxima das redes 802.11b.

Os dispositivos Home PNA utilizam uma arquitetura de rede ponto a ponto, sem a necessidade de usar nenhum tipo de hub ou concentrador e os sinais no interferem com as ligaes de voz, nem comos servios de acesso via ADSL, j que ambos utilizam frequncias diferentes. A distncia mxima entre os pontos de 330 metros e possvel utilizar montar redes de at 50 PCs. possvel conectar mais PCs caso necessrio, mais quanto maior o nmero de PCs, maior o nmero de colises de pacotes e pior o desempenho. O uso do Home PNA s vivel caso voc j possua extenses telefnicas para todos os PCs, caso contrrio, fio por fio seria mais vantajoso usar as velhas redes Ethernet, que so mais rpidas e mais baratas. Em termos de custo, temos uma faixa intermediria entre as redes Ethernet e as redes Wireless. Nos EUA cada placa PCI custa de 40 a 60 dlares, dependendo do modelo, menos da metade do preo das placas 802.11b, mas ainda um pouco salgado. Aqui no Brasil estes produtos ainda no so muito comuns, mas os preos no so muito mais altos que isto. Alm dos PCI, existem tambm alguns modelos USB, que so um pouco mais caros. Como esta uma tecnologia destinada a usurio domsticos, o mais comum os fabricantes oferecerem os produtos na forma de kits, com duas placas de rede, ao invs de vend-los de forma unitria:

Kit com placas Home PNA Fora a praticidade de poder utilizar as extenses telefnicas, as redes Home PNA no oferecem vantagens sobre as redes Ethernet e por isso no so difundidas quanto as redes sem fio. Apesar disso, as placas so relativamente baratas, o que deve garantir a sobrevivncia do padro pelo menos at que as redes sem fio tornem-se mais acessveis. Caso voc se decida por este padro, no deixe de prestar ateno se est comprando placas de 1 ou de 10 megabits. Apesar de no serem mais produzidas, ainda existe oferta de placas de 1 megabit, que so suficientes apenas para compartilhar a conexo com a Internet e transferir pequenos arquivos, caso voc no tenha pressa. possvel misturar placas de 1 e 10 megabits na mesma rede mas, neste caso, as placas de 10 megabits passaro a trabalhar a apenas 1 megabit para manter compatibilidade com as placas mais lentas.