WEBVTT 00:00.540 --> 00:02.490 Instrutor: Nesta lição, falaremos 00:02.490 --> 00:04.710 sobre como proteger suas redes sem fio de 00:04.710 --> 00:06.900 algumas das ameaças contra elas. 00:06.900 --> 00:09.930 Agora, as redes sem fio nos oferecem muita conveniência, 00:09.930 --> 00:13.050 mas também trazem muitos riscos de segurança porque, ao contrário 00:13.050 --> 00:15.720 de uma rede com fio, desde que eu esteja dentro da área 00:15.720 --> 00:18.600 de cobertura desse sinal sem fio, posso me conectar a ele 00:18.600 --> 00:21.780 com meu smartphone, meu tablet ou meu laptop. 00:21.780 --> 00:24.180 Para proteger a sua rede, você realmente precisa ter 00:24.180 --> 00:26.250 certeza de que sabe a que os seus dispositivos 00:26.250 --> 00:28.260 estão se conectando e, uma vez conectados, você 00:28.260 --> 00:31.470 quer ter certeza de que os dados enviados serão criptografados. 00:31.470 --> 00:33.420 Agora, a primeira coisa que queremos fazer é garantir 00:33.420 --> 00:36.240 que tudo o que estivermos transmitindo seja feito de forma privada para 00:36.240 --> 00:38.280 aumentar a segurança de nossas redes. 00:38.280 --> 00:39.360 Uma das formas de fazer isso 00:39.360 --> 00:41.700 é o que chamamos de chave pré-compartilhada. 00:41.700 --> 00:44.040 Agora, uma chave pré-compartilhada é quando ambos os 00:44.040 --> 00:46.529 pontos de extremidade, tanto o ponto de acesso quanto o cliente 00:46.529 --> 00:49.590 no laptop ou smartphone, têm a mesma chave de criptografia. 00:49.590 --> 00:52.230 Se eu usar uma senha em um lado e a mesma senha no outro 00:52.230 --> 00:55.080 e elas coincidirem, estarei usando a mesma chave pré-compartilhada 00:55.080 --> 00:58.200 para criar esse túnel de criptografia. 00:58.200 --> 00:59.460 No entanto, há alguns problemas 00:59.460 --> 01:01.350 quando você usa uma chave pré-compartilhada. 01:01.350 --> 01:04.710 Primeiro, a escalabilidade se torna um grande problema para nós. 01:04.710 --> 01:07.530 Digamos que eu tenha um escritório com 50 usuários diferentes, 01:07.530 --> 01:09.690 todos conectados à rede sem fio e todos usando 01:09.690 --> 01:12.150 a mesma chave pré-compartilhada. 01:12.150 --> 01:14.160 Mas digamos que amanhã eu vá trabalhar 01:14.160 --> 01:15.990 e demita um dos funcionários. 01:15.990 --> 01:18.210 Agora, esse funcionário conhece a chave pré-compartilhada, 01:18.210 --> 01:19.650 então adivinhe o que temos que fazer? 01:19.650 --> 01:21.480 Temos que alterar a chave pré-compartilhada 01:21.480 --> 01:23.850 e, como eu tenho que alterar essa chave pré-compartilhada, 01:23.850 --> 01:26.550 todos os outros 50 funcionários precisam ser informados sobre 01:26.550 --> 01:28.950 a nova chave para que todos possam alterá-la. 01:28.950 --> 01:31.710 É como trocar a chave da porta da frente de sua casa. 01:31.710 --> 01:32.940 Se você tiver 10 membros da 01:32.940 --> 01:35.400 família, agora terá que fazer 10 cópias dessa chave. 01:35.400 --> 01:37.410 Como todos os seus clientes estão usando a mesma 01:37.410 --> 01:39.630 senha e a mesma chave, isso dificulta muito a alteração 01:39.630 --> 01:42.120 e o gerenciamento adequado das chaves. 01:42.120 --> 01:43.470 Esse é um dos principais motivos 01:43.470 --> 01:46.590 pelos quais não usamos chaves pré-compartilhadas em ambientes grandes. 01:46.590 --> 01:49.350 Mas se você estiver em um pequeno escritório ou em um ambiente de 01:49.350 --> 01:51.930 home office, como sua casa ou um pequeno escritório com 10 funcionários 01:51.930 --> 01:54.660 ou menos, poderá usar uma chave pré-compartilhada, pois é muito 01:54.660 --> 01:57.030 fácil configurar redes dessa forma, já que você tem apenas 01:57.030 --> 01:59.070 alguns dispositivos. 01:59.070 --> 02:00.720 Agora, quando analisamos a segurança 02:00.720 --> 02:04.110 sem fio, há três métodos principais que podemos usar para fazer isso. 02:04.110 --> 02:08.250 O primeiro é o WEP, e depois temos o WPA e o WPA2. 02:08.250 --> 02:09.570 Quando tratamos de WEP, estamos 02:09.570 --> 02:11.850 falando de Wired Equivalent Privacy. 02:11.850 --> 02:13.680 Essa foi a segurança sem fio original 02:13.680 --> 02:15.240 que foi inventada com a primeira 02:15.240 --> 02:18.840 versão do Wi-Fi com 802. 11. 02:18.840 --> 02:21.600 Agora, ela afirmava que era tão segura quanto as redes com 02:21.600 --> 02:24.240 fio, daí o nome "privacidade equivalente com fio". Mas a verdade é que ele não é seguro 02:24.240 --> 02:26.580 e, atualmente, você nunca 02:26.580 --> 02:29.550 deve usar o WEP porque é um protocolo 02:29.550 --> 02:32.070 muito inseguro. 02:32.070 --> 02:35.250 Agora, a maneira como o WEP funciona é usando uma chave pré-compartilhada. 02:35.250 --> 02:38.880 Todos têm a mesma chave e ela é uma chave estática de 40 bits, que é muito 02:38.880 --> 02:41.370 pequena e fácil de ser obtida por força bruta ou 02:41.370 --> 02:44.130 adivinhação usando um computador potente. 02:44.130 --> 02:46.410 Com o passar do tempo, para tornar o WEP mais 02:46.410 --> 02:49.470 seguro, a chave foi atualizada de 40 bits para 64 bits e depois 02:49.470 --> 02:52.560 novamente para 128 bits, o que resolveu o problema do comprimento 02:52.560 --> 02:54.628 da chave, mas não resolveu um problema 02:54.628 --> 02:58.440 diferente conhecido como vetor de inicialização. 02:58.440 --> 02:59.850 Agora, a maneira como o WEP 02:59.850 --> 03:02.820 funciona é usar um vetor de inicialização de 24 bits, 03:02.820 --> 03:05.400 que é uma série de 24 uns e zeros, e eles serão 03:05.400 --> 03:08.040 chamados de vetor de inicialização. 03:08.040 --> 03:10.590 Isso é enviado em texto não criptografado e, se você capturar 03:10.590 --> 03:12.540 um número suficiente desses vetores de inicialização, 03:12.540 --> 03:15.750 poderá decifrar a chave de criptografia e adivinhar a chave pré-compartilhada 03:15.750 --> 03:18.960 que você usou como senha do WEP. 03:18.960 --> 03:21.642 Na verdade, usando o Aircrack NG, você pode fazer isso 03:21.642 --> 03:24.990 em cerca de dois a três minutos com a maioria dos laptops modernos. 03:24.990 --> 03:28.020 Agora, o próximo assunto sobre o qual queremos falar é o WPA. 03:28.020 --> 03:31.590 O WPA, ou Wifi Protected Access, foi o substituto do WEP 03:31.590 --> 03:33.150 devido à fraqueza desse 03:33.150 --> 03:35.850 vetor de inicialização de 24 bits. 03:35.850 --> 03:37.920 Para superar isso, eles introduziram algo 03:37.920 --> 03:41.280 conhecido como TKIP, o protocolo de integridade de chave temporal. 03:41.280 --> 03:44.790 Agora, o TKIP está substituindo esse vetor de inicialização 03:44.790 --> 03:47.610 de 24 bits por um novo vetor de 48 bits. 03:47.610 --> 03:49.260 Isso dobrou sua força, mas ainda 03:49.260 --> 03:50.850 é considerado muito fraco quando 03:50.850 --> 03:53.280 se trata de computação moderna. 03:53.280 --> 03:54.870 Outra coisa que eles fizeram 03:54.870 --> 03:57.420 foi adicionar um novo tipo de criptografia chamado 03:57.420 --> 04:00.870 RC4, ou Rivest Cipher 4, que é muito bom, mas, novamente, pelos 04:00.870 --> 04:03.630 padrões atuais, é considerado fraco. 04:03.630 --> 04:06.690 O WPA também queria adicionar alguma integridade aos seus dispositivos 04:06.690 --> 04:09.090 e fez isso garantindo que ninguém pudesse realizar um 04:09.090 --> 04:11.820 ataque man in the middle e alterar as informações. 04:11.820 --> 04:14.760 Para fazer isso, eles usaram um recurso chamado MIC, a verificação 04:14.760 --> 04:16.980 de integridade da mensagem, que é uma forma de fazer 04:16.980 --> 04:19.050 o hash dos dados antes de serem enviados e, dessa 04:19.050 --> 04:21.300 forma, você pode verificar se eles não foram modificados 04:21.300 --> 04:24.090 durante o trânsito pela rede. 04:24.090 --> 04:26.460 Agora, o WPA também percebeu que há uma falha nessa 04:26.460 --> 04:28.320 chave pré-compartilhada e na capacidade 04:28.320 --> 04:30.990 de enviar novas chaves muito rapidamente, então eles adicionaram 04:30.990 --> 04:34.290 algo conhecido como modo empresarial dentro do WPA. 04:34.290 --> 04:36.270 Com o modo empresarial, um usuário poderia 04:36.270 --> 04:38.820 realmente se autenticar antes de trocar chaves e, em 04:38.820 --> 04:40.500 seguida, poderia criar novas chaves 04:40.500 --> 04:43.680 temporariamente entre o cliente e o ponto de acesso. 04:43.680 --> 04:46.740 Isso tentou resolver o problema de escalabilidade da chave 04:46.740 --> 04:49.650 pré-compartilhada, mas, no final das contas, o WPA ainda 04:49.650 --> 04:51.450 é considerado fraco pelos padrões 04:51.450 --> 04:54.300 atuais e foi substituído por uma versão mais moderna conhecida 04:54.300 --> 04:56.850 como WPA2 ou Wifi Protected Access 2. 04:56.850 --> 04:59.160 Agora, o WPA2 é o padrão atual e foi criado 04:59.160 --> 05:02.460 como parte do padrão 802. 11i. 05:02.460 --> 05:04.770 A primeira implementação foi o Wireless 05:04.770 --> 05:07.620 G e, em seguida, o Wireless N e o Wireless AC. 05:07.620 --> 05:09.390 Requer autenticação mais forte, criptografia 05:09.390 --> 05:11.970 mais forte e verificações de integridade. 05:11.970 --> 05:15.300 A verificação de integridade é feita por meio do CCMP. 05:15.300 --> 05:17.550 Agora, CCMP significa Counter Mode with Cipher Blockchaining 05:17.550 --> 05:19.080 Message Authentication Code Protocol (Protocolo 05:19.080 --> 05:20.910 de código de autenticação de mensagem de bloqueio 05:20.910 --> 05:22.817 de codificação de cifra), que é um nome que você não 05:22.817 --> 05:25.560 precisará memorizar para o exame ou o que significa. 05:25.560 --> 05:28.890 O que você precisa lembrar é que, toda vez que vir 05:28.890 --> 05:33.210 o CCMP, deve pensar que isso faz parte da segurança do WPA2. 05:33.210 --> 05:34.890 A segunda coisa que eles fizeram 05:34.890 --> 05:37.680 foi substituir o mecanismo de criptografia mais antigo 05:37.680 --> 05:40.350 do RC4 pelo VES Cipher 4 pelo novo mecanismo conhecido 05:40.350 --> 05:43.410 como Advanced Encryption Standard ou AES. 05:43.410 --> 05:47.047 Atualmente, o AES usa uma chave de 128 bits e alguns modelos 05:47.047 --> 05:50.700 mais novos podem usar uma chave de 256 bits ou mais. 05:50.700 --> 05:52.995 Isso proporciona segurança e confidencialidade 05:52.995 --> 05:56.280 adicionais para os dados transmitidos por essa rede sem fio. 05:56.280 --> 05:58.410 No momento dessa gravação em particular, 05:58.410 --> 06:01.890 o AES ainda não foi quebrado e o WPA2, o algoritmo em si, 06:01.890 --> 06:03.990 não foi quebrado, portanto, é bom 06:03.990 --> 06:05.400 usá-lo se você tiver uma 06:05.400 --> 06:07.950 senha longa e forte. 06:07.950 --> 06:09.810 Agora, a única maneira de as pessoas conseguirem 06:09.810 --> 06:12.720 invadir essas redes atualmente é usando ataques de senha, o que significa 06:12.720 --> 06:14.640 que elas tentam adivinhar as senhas adivinhando 06:14.640 --> 06:16.500 todas as opções possíveis usando um ataque 06:16.500 --> 06:19.350 de força bruta ou um ataque de dicionário. 06:19.350 --> 06:20.700 Portanto, se quiser proteger 06:20.700 --> 06:24.210 suas redes, certifique-se de usar uma senha boa, longa e forte. 06:24.210 --> 06:27.390 O WPA2 também oferece suporte a dois modos diferentes, dependendo 06:27.390 --> 06:29.370 da rede em que você o utilizará. 06:29.370 --> 06:32.070 Se estiver usando-o em um ambiente doméstico ou em um pequeno escritório, 06:32.070 --> 06:33.900 você usará uma chave pré-compartilhada em que 06:33.900 --> 06:35.520 todos têm a mesma senha. 06:35.520 --> 06:37.800 Isso é conhecido como modo pessoal. 06:37.800 --> 06:40.260 A outra maneira é usá-lo em um ambiente grande 06:40.260 --> 06:42.030 em que você está usando o modo corporativo, 06:42.030 --> 06:43.500 no qual cada usuário recebe 06:43.500 --> 06:46.560 um único nome de usuário e senha exclusivos e usa um servidor 06:46.560 --> 06:48.990 de autenticação central usando o WPA2 nativo 06:48.990 --> 06:55.320 ou transferindo isso para um 801. 06:55.320 --> 06:55.320 1x. 06:55.320 --> 06:56.360 Para o exame, quero que você 06:56.360 --> 06:59.040 se lembre de quatro coisas sobre segurança sem fio e, se você se 06:59.040 --> 07:00.120 lembrar das quatro coisas 07:00.120 --> 07:02.340 deste quadro, terá um ótimo desempenho. 07:02.340 --> 07:04.590 Primeiro, sempre que você vir a palavra 07:04.590 --> 07:06.270 aberta em referência a uma rede 07:06.270 --> 07:10.440 sem fio, isso significa que não há segurança, proteção ou senha. 07:10.440 --> 07:11.820 Se você ouvir WEP, quero 07:11.820 --> 07:14.580 que associe isso a vetores de inicialização. 07:14.580 --> 07:15.990 Essa é a falha do WEP e é sobre 07:15.990 --> 07:17.880 isso que você ouvirá no teste. 07:17.880 --> 07:19.235 O WEP é fraco, o WEP é ruim. 07:19.235 --> 07:22.140 O WEP usa vetores de inicialização. 07:22.140 --> 07:23.995 Se você vir WPA, quero que pense 07:23.995 --> 07:27.227 em TKIP e RC4, pois o TKIP foi usado para substituir 07:27.227 --> 07:29.520 os vetores de inicialização e o RC4 foi 07:29.520 --> 07:31.680 sua forma de criptografia. 07:31.680 --> 07:35.070 Novamente, o WPA é considerado fraco, não o utilize. 07:35.070 --> 07:37.920 Em seguida, se você vir WPA2, deve estar 07:37.920 --> 07:41.250 pensando nos acrônimos CCMP e AES. 07:41.250 --> 07:43.470 O CCMP é um Protocolo de Integridade e 07:43.470 --> 07:46.350 o AES é o mecanismo de criptografia que usamos. 07:46.350 --> 07:48.720 Essa é a chave para responder às perguntas sobre a tecnologia 07:48.720 --> 07:50.760 sem fio para garantir a segurança no dia do exame. 07:50.760 --> 07:53.760 A seguir, vamos falar um pouco sobre a filtragem de endereços MAC. 07:53.760 --> 07:56.457 Podemos configurar nossos pontos de acesso com uma 07:56.457 --> 07:58.470 ACL, que será capaz de examinar esses endereços 07:58.470 --> 08:01.020 e permitir ou negar que determinados endereços MAC 08:01.020 --> 08:02.700 se conectem à rede. 08:02.700 --> 08:05.340 Por exemplo, se meu iPhone tentar se conectar à rede e 08:05.340 --> 08:08.010 não estiver autorizado ou estiver na lista de negação, 08:08.010 --> 08:09.720 ele não conseguirá fazer o handshake 08:09.720 --> 08:11.460 e não poderá se comunicar. 08:11.460 --> 08:13.230 Agora, o problema com a filtragem de 08:13.230 --> 08:15.150 Mac ainda reside no fato de que é muito fácil 08:15.150 --> 08:17.520 alterar seu endereço MAC e falsificá-lo. 08:17.520 --> 08:19.500 Usuários experientes podem alterar o endereço 08:19.500 --> 08:21.960 do Mac com muita rapidez usando ferramentas disponíveis gratuitamente 08:21.960 --> 08:24.630 e isso realmente leva cerca de cinco segundos. 08:24.630 --> 08:26.100 Isso impedirá algumas pessoas, 08:26.100 --> 08:29.190 mas não é infalível e não impedirá todo mundo. 08:29.190 --> 08:30.660 Se você quiser alterar o endereço 08:30.660 --> 08:33.420 do seu Mac e usar ferramentas como o Mac Address Changer 08:33.420 --> 08:36.210 para Windows, Mac Daddy X para sistemas OSX e MAC, ou Mac 08:36.210 --> 08:37.890 changer para Linux, todas essas 08:37.890 --> 08:40.560 ferramentas são muito fáceis de usar. 08:40.560 --> 08:42.411 Os endereços Mac não serão uma fonte 08:42.411 --> 08:46.500 de grande proteção para você, mas, de acordo com o exame, é uma proteção que 08:46.500 --> 08:48.840 você pode usar para fazer parte de sua estratégia 08:48.840 --> 08:50.940 de defesa e profundidade. 08:50.940 --> 08:53.100 Portanto, no mundo real, não se preocupe muito 08:53.100 --> 08:55.230 com a filtragem do Mac, mas para o exame, eles 08:55.230 --> 08:57.450 a consideram uma boa medida de segurança. 08:57.450 --> 09:00.300 Em seguida, desativamos a transmissão do SSID, o que 09:00.300 --> 09:02.550 é considerado uma pequena ajuda de segurança 09:02.550 --> 09:04.410 para proteger suas redes. 09:04.410 --> 09:06.930 Agora, de acordo com o exame, assim como a filtragem de MAC, eles 09:06.930 --> 09:08.730 dizem que isso é uma coisa boa a se fazer. 09:08.730 --> 09:10.260 No mundo real, porém, não 09:10.260 --> 09:13.200 leva muito tempo para encontrar um SSID oculto. 09:13.200 --> 09:15.390 Agora, o que exatamente é um SSID? 09:15.390 --> 09:17.850 Bem, isso significa o identificador do conjunto 09:17.850 --> 09:20.520 de servidores e é assim que sua rede sem fio é chamada. 09:20.520 --> 09:22.260 Por exemplo, se você for à Starbucks, 09:22.260 --> 09:24.390 eles têm um chamado "Starbucks Guest" ou se você 09:24.390 --> 09:27.360 for à minha casa, eu tenho um chamado "Dion" e, dessa forma, você 09:27.360 --> 09:29.160 pode ver que o conjunto de servidores sai 09:29.160 --> 09:31.920 e diz: "Ei, Dion está aqui, devo me conectar a ele? E se você pesquisar uma rede, verá toda 09:31.920 --> 09:33.120 a lista de nomes 09:33.120 --> 09:35.700 que estão ao seu redor, certo? 09:35.700 --> 09:38.670 Bem, se você desativar a transmissão da ID do conjunto de servidores, 09:38.670 --> 09:40.230 ela não será transmitida e não aparecerá 09:40.230 --> 09:42.630 em suas redes disponíveis. 09:42.630 --> 09:44.670 Dessa forma, o usuário precisa digitar manualmente 09:44.670 --> 09:46.350 o nome para se conectar à sua rede, para que 09:46.350 --> 09:48.210 ele realmente saiba que ela está lá. 09:48.210 --> 09:49.920 O problema com isso é que, usando técnicas 09:49.920 --> 09:52.680 de penetração sem fio, é muito fácil encontrá-las e você 09:52.680 --> 09:55.080 ainda poderá se conectar a elas. 09:55.080 --> 09:57.240 Se tudo o que você está fazendo é desativar sua transmissão, 09:57.240 --> 09:58.740 isso não é muito seguro. 09:58.740 --> 10:01.320 Mas se você fizer isso em conjunto com a filtragem de MAC 10:01.320 --> 10:03.240 e tiver uma senha longa e forte, estará começando 10:03.240 --> 10:04.830 a criar camadas de segurança e a ter 10:04.830 --> 10:06.903 uma postura de segurança melhor.