MMF #6 → Como ter mais segurança no roteador Wi-fi?


No sexto post sobre a série “Wi-fi: Meu malvado favorito”, vamos falar de uma questão importante: a segurança da sua rede.


Muitos roteadores oferecem a opção de usar a segurança WPA2 com TKIP (WPA2-TKIP), AES (WPA2-AES) ou ambos. A escolha errada vai resultar em uma rede mais lenta e menos segura. Apesar dos nomes estranhos e da possibilidade de problemas, essa configuração é importante e deve ser escolhida com calma, e claro, com algum conhecimento das tecnologias envolvidas WEP (Wired Equivalent Privacy), Wi-Fi Protected Access (WPA) e Wi-Fi Protected Access II (WPA2), que são os principais algoritmos de segurança que você verá ao configurar uma rede sem fio. O WEP é o mais antigo e provou ser vulnerável à medida que várias falhas de segurança foram descobertas. WPA melhorou a segurança, mas agora também é considerada vulnerável à intrusão. WPA2, embora não seja perfeito, atualmente é considerada por muitos como a escolha mais segura.

O Temporal Key Integrity Protocol (TKIP) e o Advanced Encryption Standard (AES) são os dois tipos diferentes de criptografia, que você poderá usar em redes protegidas com o protocolo WPA2. O TKIP é um protocolo de criptografia mais antigo, introduzido com o WPA para substituir a criptografia WEP, que mostrou ser muito insegura. Porém, o TKIP ainda é bastante semelhante à WEP, portanto, atualmente, esse padrão não é mais considerado seguro, já está obsoleto. Em outras palavras, você não deve usá-lo.

Já o AES é um protocolo de criptografia mais seguro, introduzido com o WPA2. Ele também não é um padrão desenvolvido especificamente para redes Wi-Fi, é um padrão mundial. O resumo disso tudo é que o TKIP é mais antigo, usado pelo padrão WPA. AES é uma solução de criptografia Wi-Fi mais nova, usada pelo padrão WPA2, que também é novo e considerado seguro.

Dependendo do seu roteador, a escolha não é tão simples: embora tudo leve para o uso do WPA2 com AES para uma segurança ideal, também é possível usar o protocolo com TKIP (embora não seja recomendável), onde a compatibilidade com os dispositivos conectados é necessária. Nesse cenário, os dispositivos que suportam WPA2 se conectarão ao WPA2 e os dispositivos que suportam o WPA se conectarão ao WPA.

Infelizmente, ao usar as opções de compatibilidade WPA e TKIP, a velocidade da sua rede Wi-Fi pode diminuir. Se você habilitar o WPA ou o TKIP em muitos roteadores Wi-Fi modernos que suportam 802.11n e padrões mais novos e mais rápidos, eles vão diminuir para 54 mbps. Eles fazem isso para garantir a compatibilidade com os dispositivos mais antigos.

Na maioria dos roteadores atuais, as opções são geralmente WEP, WPA (TKIP) e WPA2 (AES), e talvez um modo de compatibilidade WPA (TKIP) + WPA2 (AES). Então, se você tiver um tipo de roteador que ofereça WPA2 com TKIP ou AES, escolha AES. Quase todos os seus dispositivos certamente funcionarão com ele, além de ser mais rápido e seguro.

E a função WPS? Como funciona?

A maioria dos roteadores atuais possui uma tecnologia chamada WPS. O recurso é a sigla, em inglês, para Wi-Fi Protected Setup. Esta ferramenta visa trazer mais praticidade e velocidade na hora de conectar novos dispositivos à rede Wi-Fi. Porém, são poucos os usuários que conhecem a existência da função e sua utilidade, que às vezes pode trazer mais problemas que soluções.

Normalmente, para se conectar ao Wi-Fi, você deve escolher a rede e colocar uma senha, e isso pode ser meio chato pois, quase sempre, você recebe visitas novas que querem a senha, ou você troca a senha e precisa colocar a senha novamente nos dispositivos, e coisas do tipo.

Para facilitar o processo, foi criado o WPS. Quando habilitada, a função grava em seu roteador um código.
Quando você quiser conectar um novo aparelho à rede Wi-Fi, basta pressionar o botão WPS em seu roteador para que o aparelho se conecte automaticamente, sem a necessidade de utilização de senhas.

Em outras palavras, a função WPS traz mais praticidade e facilidade de conexão às redes Wi-Fi, eliminando a necessidade de utilização e memorização de senhas. Essa é a principal e única vantagem do uso do recurso.
Como já citado, a função WPS grava direto no roteador um código. Acontece que esse código é muito inseguro e vulnerável. Qualquer ataque de força bruta, ou seja, que faça sucessivas tentativas de acertar a senha, descobre a combinação de caracteres em questão de poucas horas.

Na Internet, com uma simples pesquisa é possível encontrar programas que exploram essa vulnerabilidade e descobrem a senha WPS de seu roteador com sucesso. Vale destacar que, ao entrar na rede Wi-Fi de uma pessoa, você ganha acesso não apenas a Internet, mas também a todos os dados que passam pela rede e aos arquivos que são compartilhados.

Dito isto, é mais do que recomendado que você desligue a função WPS de seu roteador. Outro agravante para o problema é que a grande maioria dos roteadores traz essa função habilitada de fábrica. Assim, inúmeros usuários usam o WPS sem nem ao menos saber o que é, ficando suscetíveis a ataques e invasões.

Dica: Antes de desativar o WPS, troque o código PIN do WPS e depois desative; assim, quem estiver utilizando sem você saber perderá a conexão e não conseguirá mais se conectar utilizando os programas que citamos.