Redes Wireless, Configurando o ponto de acesso (Parte 01)

Introdução

Depois de entrar em detalhes sobre os padrões, antenas, conectores, alcance, encriptação, etc. vamos à parte "prática", estudando sobre a configuração da rede. Na grande maioria dos casos, configurar a rede é bastante simples, já que os pontos de acesso são produtos de consumo e a idéia é justamente que eles possam ser configurados por qualquer um, evitando, assim, chamadas ao departamento de suporte do fabricante e devoluções de produtos por consumidores que não conseguiram descobrir como configurá-los. Apesar disso, existem muitos detalhes e opções escondidas. Vamos então explorar mais a fundo as opções e entender o porquê de cada uma.

Ao contrário de um hub, que é um dispositivo "burro", que trabalha apenas no nível físico e dispensa configuração, um ponto de acesso é um dispositivo muito mais complexo, que implementa sistemas de criptografia, valida o acesso dos clientes (através de passphrases, listas de endereços MAC e assim por diante) e pode ser configurado de diversas formas diferentes, sem falar dos pontos de acesso com funções de servidor de impressão e servidor de arquivos, onde a complexidade é ainda maior.

Para coordenar tudo isso, o ponto de acesso precisa de um firmware relativamente complexo, que pode ser desde algum sistema proprietário para sistemas embarcados, como o VXworks, até uma versão compacta do Linux, como no caso do Linksys WRT54GL.

Independentemente do sistema usado, a configuração do ponto de acesso é feita através de uma interface web. Alguns modelos oferecem também acesso via telnet ou através um software cliente, instalado no PC, mas estas formas alternativas de configuração nunca fizeram muito sucesso, já que o conceito de interface web é mais familiar a todos.

O primeiro passo é localizar o endereço IP, juntamente com o login e a senha padrão do ponto de acesso, que são informados nas primeiras páginas do manual, ou em uma etiqueta colada no AP. Uma dica é que muitos pontos de acesso são configurados por padrão para obter um endereço via DHCP, de forma que o endereço padrão só é usado se não houver nenhum servidor DHCP disponível na rede, ou se o AP for diretamente ligado ao PC para a configuração, em vez de ser ligado no switch da rede. Ao comprar um ponto de acesso de segunda mão, aproveite para resetá-lo, de forma a ter certeza de que ele está usando as configurações padrão.

Se for o caso, você pode usar o nmap para descobrir o endereço IP do AP na base da força bruta. Para isso, instale o pacote "nmap" usando o gerenciador de pacotes (no Linux), ou baixe-o no https://insecure.org/nmap/download.html, onde está disponível também uma versão Windows, que pode ser usada pelo prompt do DOS.

Com o programa instalado, use o comando "nmap -sS" no terminal, como root (no Linux), ou usando uma conta com privilégios administrativos (no Windows), seguido da faixa de endereços a ser pesquisada, como em:

# nmap -sS 192.168.0.1-254
# nmap -sS 192.168.1.1-254
# nmap -sS 10.0.0.1-254


O teste do nmap mostra todos os dispositivos com portas abertas, incluindo não apenas os PCs da rede, mas também todo tipo de dispositivos com interfaces de rede, como pontos de acesso, vídeo-games, servidores de arquivos, modems ADSL e assim por diante. O teste em cada faixa de endereços demora cerca de 10 segundos. Testando as faixas de endereços mais usadas, você logo chega ao ponto de acesso, como em:
Interesting ports on 192.168.1.187:
Not shown: 1679 closed ports
PORT STATE SERVICE
80/tcp open http
MAC Address: 00:18:4D:D7:D7:D0 (Netgear)


O endereço MAC da Netgear não deixa dúvidas de que esse é o meu ponto de acesso, que está usando um endereço obtido via DHCP. Se o ponto de acesso estiver utilizando um endereço fora da faixa usada na sua rede, você precisa apenas alterar o endereço IP do PC, de forma que ele utilize um endereço dentro da mesma faixa do ponto de acesso. Outra opção, mais prática, é adicionar um alias, de forma que seu PC mantenha a configuração atual e passe apenas a usar um IP secundário, dentro da faixa desejada.

No Linux, você pode adicionar o alias usando o próprio comando ifconfig, adicionando um ":1" (o 1 é o número do alias, você pode adicionar vários) ao nome da interface, como em:

# ifconfig eth0:1 192.168.0.23

No Windows, a configuração vai dentro do menu "Avançado", dentro das propriedades do TCP/IP:



Vamos então à configuração. Vou utilizar como exemplo um NetGear WG602v3, um ponto de acesso 802.11g "simples" e um Encore ENHWI-G, um modelo de baixo custo que inclui funções de roteador. Vou aproveitar para incluir também opções que podem ser encontradas em outros pontos de acesso, de forma que você tenha uma boa base para configurar qualquer modelo.





Opções básicas

O primeiro passo é ajustar os endereços de rede do AP (desativando o cliente DHCP, caso a opções esteja disponível), de forma que ele passe a utilizar o endereço IP definitivo (você vai precisar reabrir a conexão no novo endereço). Veja que em ambos os screenshots existe a opção de definir um nome de rede para o AP, que não tem relação com o SSID da rede, que é definido na seção "wireless":





Você pode notar que o AP da Encore (o screenshot à direita) oferece um servidor DHCP, o que é norma nos roteadores wireless. No meu caso deixo a opção desativada, uma vez que já tenho um servidor DHCP, instalado no servidor Linux da rede.

O "Spanning Tree Protocol", disponível em alguns APs e roteadores, é um protocolo de controle, que permite que você ligue o roteador a duas ou mais portas do switch da rede simultaneamente, para fins de redundância. Normalmente, isso criaria um loop, que geraria um volume absurdo de tráfego na rede, reduzindo drasticamente a velocidade, ou derrubando-a completamente, mas os dispositivos que suportam o protocolo Spanning Tree são capazes de detectar o link duplicado e desativar uma das conexões, deixando-a em stand-by para o caso de falha na primeira. Como você pode imaginar, esta é uma opção bem específica, mas você pode deixá-la ativa, já que ela não tem efeitos colaterais.

No caso dos roteadores wireless, você tem disponíveis também opções relacionadas à conexão com a web. O link vai então na porta "WAN", enquanto os demais PCs da rede são ligados às portas do switch integrado. O ponto de acesso faz o papel que seria executado por um PC com duas placas de rede, compartilhando a conexão via NAT. No caso do ENHWI-G, a configuração vai no "Main > WAN":





Ao usar uma conexão via cabo, o endereço é obtido automaticamente via DHCP. O servidor remoto libera o acesso apenas para um endereço MAC específico (o da placa de rede do PC), que é cadastrado ao assinar o serviço, por isso é geralmente oferecida a opção de especificar manualmente o endereço MAC que o roteador usará para se conectar. Isso permite que você falseie o endereço MAC de conexão ao substituir o PC pelo roteador.

Ao usar um modem ADSL, você poderia tanto configurá-lo (modem) como roteador e simplesmente configurar o AP para re-compartilhar a conexão quanto configurá-lo como bridge e deixar que o próprio AP efetue a conexão via PPPoE e a compartilhe com os clientes da rede.

A opção "Dynamic DNS" que aparece no segundo screenshot é um extra, que permite que o ponto de acesso faça a atualização de um domínio virtual registrado em um dos serviços suportados, a mesma função oferecida por muitos modems ADSL.

Funções adicionais, como essa, são uma forma que os fabricantes encontram para tentar diferenciar seus produtos, já que o mercado de equipamentos de rede é incrivelmente concorrido. Temos ainda roteadores que além de compartilharem a conexão, incorporam um modem ADSL, ou mesmo um modem 3G, que permite compartilhar uma conexão EDGE, UTMS ou EVDO (via celular) entre os micros da rede.

Parâmetros da rede

Continuando, temos a configuração dos parâmetros da rede wireless, que é, afinal, a principal função do ponto de acesso. Normalmente, ela é dividida em duas seções, uma com as configurações mais básicas e uma seção "avançada", contendo as demais opções. Vamos começar pelas opções comumente encontradas na seção básica:





SSID: Tudo começa com o SSID, o "nome" da rede, que permite que diferentes pontos de acesso dentro da mesma área de cobertura entendam que fazem parte de redes diferentes. Todo ponto de acesso vem com um SSID padrão, como "Netgear". É importante modificá-lo (até por uma questão de segurança), já que os SSIDs default são bem conhecidos e a presença de um AP com um deles incentiva ataques, indicando que o dono pode ter deixado-o com as configurações default.

A sigla SSID é abreviação de "Service Set ID". Muitos fabricantes preferem usar o termo "ESSID" (Extended Service Set ID), de forma que os dois termos acabam sendo usados de forma intercambiável.

SSID Broadcast: Em seguida temos a opção "SSID Broadcast", que define se o AP deve divulgar o SSID da rede, permitindo que a rede apareça na lista das redes disponíveis, ou se ele deve esconder a informação, como uma tentativa de tornar a rede mais difícil de detectar e assim desestimular tentativas de acesso não-autorizado.

Como comentei anteriormente, esconder o SSID não é muito efetivo para melhorar a segurança, pois o SSID é incluído nos pacotes transmitidos pelos clientes, de forma que é facilmente descoberto por ferramentas de auditoria, como o Kismet. Esconder o SSID pode ajudar a afastar curiosos, mas não ajuda contra ataques mais elaborados.

Modo de transmissão: A opção "Mode" (quando disponível) permite definir se o ponto de acesso operará em modo dual, atendendo clientes 802.11b e 802.11g (b and g), ou se ele ficará limitado a um único padrão (g only). No caso dos APs 802.11n, você tem a mesma opção, mas pode escolher entre atender apenas clientes 802.11n ou atender também os 802.11b/g.

Misturar clientes de dois padrões diferentes na mesma rede invariavelmente reduz a velocidade de transmissão pois, devido ao uso do meio de transmissão compartilhado (o ar), o ponto de acesso é forçado a efetivamente reduzir a taxa de transmissão ao atender os clientes mais lentos, o que pode ser um problema grave em redes congestionadas. Se você possui apenas clientes 802.11g, ou apenas 802.11n na rede, manter a compatibilidade com o padrão antigo apenas atrapalha.

A principal dica é que ao atualizar para o 802.11n você pode manter o ponto de acesso antigo, utilizando um SSID diferente e operando em outro canal. Com isso, o AP 802.11n pode ser configurado em modo "n only", trabalhando sem perda de desempenho.

Taxa de transmissão: Continuando, temos a opção "Data Rate", "TX Rate" ou simplesmente "Rate", que permite especificar uma taxa de transmissão fixa. Por padrão o ponto de acesso varia a taxa de transmissão (opção "Best", ou "Auto") conforme a qualidade do sinal, variando (nos pontos de acesso 802.11g) entre 54 megabits e 1 megabit.

Em uma rede doméstica, onde você disponha de boa cobertura em todos os ambientes, travar a taxa de transmissão do ponto de acesso em 54 megabits é uma boa forma de reduzir o alcance efetivo da rede, reduzindo a possibilidade de ataques, já que, como vimos, é muito difícil obter um sinal forte o suficiente para manter uma conexão de 54 megabits à distância. Por outro lado, ao criar um link de longa distância, você pode fixar a velocidade em apenas 1 ou 2 megabits, de forma a tornar o link mais estável, evitando que o ponto de acesso perca tempo tentando negociar taxas de transmissão mais altas, que resultarão em taxas de erro mais elevadas.

Potência de transmissão: Outra opção que pode ser usada para reduzir o alcance é a "Antenna Transmit Power" (ou "Output Power"), que ajusta a potência usada pelo transmissor. Quando presente, ela permite reduzir a potência de transmissão para até 1/8 do original, limitando drasticamente o alcance do sinal. Esta é a melhor defesa contra ataques, já que sem sinal é impossível invadir a rede em primeiro lugar. O problema é que com um sinal mais fraco a rede fica mais vulnerável a interferências e você passa a ter mais dificuldade em obter um sinal estável nos pontos mais afastados do local, de forma que esta opção não é muito popular.

Canal: Em seguida temos a configuração do canal. Você pode simplesmente escolher um canal aleatório, testando outro depois caso tenha problemas de interferência, ou fazer um trabalho mais cuidadoso, usando o Netstumbler ou outro detector de redes para verificar quais são os canais usados nas redes próximas e a partir daí escolher a canal mais limpo.

A maioria dos pontos de acesso segue o padrão dos EUA, liberando apenas o uso dos canais de 1 a 11, mas em alguns, você pode escolher o país, o que permite destravar os os canais 12 e 13, permitidos aqui no Brasil. Eles são mais limpos, já que poucas redes os utilizam, mas para usá-los você precisará também de placas com firmwares que permitam o uso dos canais, caso contrário os clientes não conseguirão se conectar à rede.