Muitas corporações recusam-se a pensar numa solução wireless por causa da suposta falta de segurança deste tipo de aplicação. Consideram a rede de dados como uma Muralha da China, cuja invulnerabilidade só funciona contra ataques terrestres, mas é pouco útil contra as ações aéreas de uma esquadrilha inimiga. Há acerto e exagero em posturas como esta.

A própria Aliança Wi-Fi, consórcio criado por empresas da área, reconhece que o temor com relação à segurança das redes sem fio gera um impacto negativo na adoção dos produtos especializados. Algumas reações são irracionais, baseadas em crenças arraigadas. Outras, ligadas à insegurança real das soluções wireless.

O padrão de criptografia para redes locais sem fio, o conhecido WEP (Wired Equivalent Privacy) tem algumas restrições. “Ele é muito vulnerável”, avalia Fernando Santos, gerente de área da Check Point para o Brasil e o Cone Sul. “Quem deseja um bom nível de segurança não pode se fiar somente nele”, afirma.

As soluções para evitar os piratas aéreos vão desde a utilização dos recursos de segurança inerentes aos próprios pontos de acesso até a instalação de firewalls. É preciso investir horas de serviço para fazer uma configuração confiável da rede wireless. Nos casos mais complexos, a aquisição de equipamentos, software e a contratação de serviços especializados se fazem necessários.

Para contornar a insegurança, a Aliança Wi-Fi divulga este mês um novo padrão de acesso sem fio entre PDAs (Personal Digital Assistants). Batizado de WPA (Wi-Fi Protected Access), a tecnologia vai além do WEP, prometendo melhorias na criptografia de dados e na autenticação do usuário, apenas com upgrade de software.

De quebra, o consórcio apresenta uma nova ferramenta de busca chamada de Zone, destinada a encontrar pontos de acesso Wi-Fi entre os cerca de 12 mil hot spots (pontos de acesso públicos) instalados no mundo. Outra promessa é o desenvolvimento do padrão 802.11i, desenvolvido pelo IEEE 802.11 Task Group. A iniciativa inclui uma nova versão de WEP, baseada em AES (Advanced Encryption Standard).

Casos do mundo real

Enquanto se espera o WPA, o mercado já comercializa várias soluções para quem quer trafegar dados pelo ar, atingindo níveis de segurança semelhantes aos de uma rede cabeada. As operações em redes sem fio (internos ou externos) têm oferecido vantagem competitiva para alguns empreendimentos, sem comprometer a integridade dos dados.

É o caso da empresa de logística Columbia, com atuação em entrepostos aduaneiros do Brasil. A companhia investiu em tecnologia wireless para alimentar seus bancos de dados com informações de seus armazéns. Nas unidades, as informações são recolhidas por meio de cem coletores de dados em rádio freqüência. O aproveitamento do padrão 802.11b inclui o uso de criptografia entre os dispositivos e o ponto central de acesso, mesmo nas regiões mais afastadas dos centros comerciais.

As informações dos coletores ficam disponíveis online por meio do portal da companhia, possibilitando o processo de rastreamento e desembaraço de cargas. “Nosso negócio requer o oferecimento de informações para nossos clientes e não apenas o espaço físico para o armazenamento de mercadorias”, diz Marcelo Brandão, gerente de tecnologia da informação da Columbia.

A existência de um espaço aberto de grandes dimensões e cuja estrutura dificulta a instalação cabeada é outro atrativo para a solução wireless. O estádio do Maracanã, por exemplo, usa uma rede sem fio para interconectar as diversas bilheterias com o escritório central. A solução, implementada pela ITC Technology, desenvolvida pela Enterasys Networks, também está em fase final de implantação no estádio do Morumbi, em São Paulo.

Um dos grandes atrativos para algumas companhias, principalmente aquelas que lidam diretamente com tecnologia, tem sido o aumento de produtividade de seus funcionários. A Microsoft, por exemplo, afirma que cerca de 50% do seu time ganhou de 30 a 90 minutos diários pelo fato de usar a rede wireless da corporação.

Cuidando do calcanhar

Os exemplos mostram que as soluções compatíveis com o padrão 802.11b já trazem mecanismos que garantem níveis aceitáveis de segurança. Mas, para que isso ocorra, o projeto de proteção dos dados deve ser ativado desde o início.

A segurança de uma rede wireless pode ser implementada tendo em vista seus conhecidos pontos de fragilidade. O primeiro “calcanhar de Aquiles” está justamente no chipset do ponto de acesso. É preciso tornar confiável a comunicação entre ele e os demais dispositivos autorizados. Esse trabalho, mesmo feito de forma manual, pode evitar que computadores se liguem à rede com facilidade, apenas se aproximando da região de cobertura.

Por outro lado, a medida não é suficiente para garantir segurança. Existem vários programas disponíveis na Internet que simulam o endereço de qualquer placa de rede, fazendo-se passar por um dispositivo autorizado na hora de uma conexão.

Uma vez fechada essa primeira brecha, é hora de cuidar da inviolabilidade da informação que trafega entre as estações e o ponto central de rede. E a única maneira é embaralhá-la de uma forma ordenada, ou seja, criptografá-la. Os dados estão, dessa forma, seguros – isto é, até o momento em que um estranho tenha acesso à chave criptográfica ou quebre seu código.

O uso de protocolos como o IPSec permite a criação de um túnel seguro. Caso se queira níveis mais elaborados de criptografia, os padrões AES (Advanced Encryption Standard) e o DES (Data Encryption Standard) são opções interessantes. No entanto, é preciso um certo censo de medida para evitar gastos desnecessários. “Não adianta, por exemplo, codificar números do almoxarifado que só têm sentido para a companhia e que dificilmente poderiam ser aproveitados por um concorrente”, explica Cristiano Oliveira, da Spring Wireless.

Também é preciso levar em conta a velocidade padrão de mercado das redes sem fio. A criptografia de dados baixa realmente o desempenho das aplicações e da transmissão. “Essa é uma das razões por que muitas empresas optam por não criptografar os dados”, diz Cláudio Bannwart, gerente de segurança digital da Compugraf.

Mesmo depois de trancadas todas as portas e instalada a criptografia adequada, não é possível dar folga aos crackers. “O monitoramento regular permite averiguar riscos de segurança em tempo real, descobrir atividade de invasores, além de identificar problemas intrínsecos à rede”, explica Marco Fontenelle, gerente de sistemas para a América Latina da Network Associates.

Produtos distribuídos gratuitamente pela Internet permitem essa radiografia da rede. São chamados genericamente de sniffers (farejadores). Programas como esses são como facas de dois gumes, que podem servir tanto para a defesa como para o ataque de uma rede corporativa. O desafio dos administradores de rede e dos gestores de segurança é justamente serem mais rápidos no gatilho e mais competentes na hora de instalar fechaduras e cadeados nas entradas. As ameaças, enfim, existem desde a primeira rede de computadores instalada e não vão acabar, nem impedir o avanço da tecnologia e dos negócios.

Como deixar sua rede corporativa segura

Algumas ações simples e implementações corretas deixam os intrusos do lado de fora do ambiente da empresa: Não diga o nome da rede para qualquer um: desabilite no ponto de acesso a emissão automática de informações como o nome da rede, a chave criptográfica e a senha do administrador de rede; Faça a lista dos computadores amigos: a autenticação do computador à rede deve ser feita usando o MAC Address da placa de cada dispositivo. Essa ação impede que máquinas estranhas ao ambiente possam se conectar à rede; Não deixe vazar o sinal: o posicionamento do ponto de acesso e a potência de sua antena podem ter um alcance que ultrapasse as fronteiras geográficas da empresa. É preciso implementar mecanismos de autenticação e criptografia; Aja rápido se o notebook sumir: roubo e perda de equipamentos têm conseqüências sérias. Preveja que ações serão tomadas nesses casos; Defina que tipo de informação trafega na rede: é importante que o usuário do canal sem fio saiba o que pode e o que não pode ser trafegado pela rede wireless; Criptografar para não dar o mapa ao bandido: dados estratégicos, e-mails profissionais, modelos de vendas, lista de clientes preferenciais, planos de novos negócios podem cair em mãos inimigas. O estrago do vazamento desse tipo de informação pode ser fulminante; Autentique quem entra: além de garantir que determinado dispositivo é autorizado para entrar na rede, use métodos de autenticação forte de usuário, por meio de tolkens e senhas dinâmicas; Erga muralhas de fogo: a ligação com a rede local deve estar sempre protegida por firewall, como qualquer porta aberta para o mundo exterior.