PplWare Mobile

10 dicas para proteger a sua rede Wireless

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Pedro Ferrao says:

    Opção 9 e 10 são as que tenho em casa….
    Limitar mac address/esconder rede é só para atrasar um bocadinho…. mas proteger… nao protege realmente…

    • Ricardo Silva says:

      para os utilizadores comuns estas dicas protegem mais que bastante, agora para utilizadores mais avançados a única maneira de teres a tua rede wifi 100% impenetrável é desliga-la xD

      • João Reis says:

        Podes ter a certeza que limitando ao Mac Address é o mesmo que nada. Um novato simplesmente a usar uma vulgar distro de Linux com ferramentas, consegue passar essa fala protecção.

        Se realmente sabemos que ferramentos são comuns a qualquer mortal/curioso, podemos e devemos usar medidas de Segurança que realmente vão para além de 1 linha de comando, que é a linha que separa a medida a existir como a não existir.

      • anita says:

        Foi o que eu fiz,mas a pessoa continua a estar ligada ao meu computador por rede LAN.

    • João Reis says:

      Claro, ainda bem que o primeiro comentário é realmente útil.

      Já deviam ter acabado com as protecções Mac Address. Apenas servem para dar uma falsa noção de segurança. Alias era engraçado ver as pessoas tão confiantes nessa opção, inexperiência mas que passava de boca em boca como sendo verdadeira.

    • Rodrigo says:

      Amigos …. tudo isso é inútil, o principal não foi dito. Desabilitem o wps nas configurações do seu modem, que ninguém poderá fazer nada contra vcs.

      • anita says:

        O meu WPS e internet estão desligados no meu router e no entanto e está lá com rede LAN,e até clonou o meu face,entra nos meus emails quando quer,diga-se que ultimamente tenho acedido de um pc público,e a resposta ao meu comentário de ontem aqui hoje já estava no lixo.

  2. Nooby says:

    E desasctivar o wps?! Fala-se em servidores Radius e esquecemo-nos do wps?!

  3. joelson0007 says:

    Todas as dicas são válidas, parabéns pela matéria!

  4. Seemog says:

    E um tutorial sobre freeRadius?
    Alguém se disponibiliza?

  5. Rui says:

    Boas dicas, tenho muitas delas implementadas, mas tenho sempre a PT a furar o esquema. Como o serviço é partilhado (Meo + telefone + net), a PT de vez em quando actualiza a box e acesso e remove-me restrições que eu implemento na rede. Como podemos impedir isso?

    No serviço foi fácil, não usamos routers da PT, usamos sim Drytek e está resolvido o assunto, mas nos serviços domésticos, com Meo a partilhar a linha (ADSL), como fazemos para evitar que por exemplo alterem parâmetros por nós modificados nos Thompson? Já chegaram a repor o utilizador predefinido pela Meo…. activaram a rede wireless deste router quando eu tenho sempre desligada….. (uso outro router com firewall)!
    Outro pormenor, o utilizador tem acesso de administrador, mas a PT tem outro acesso com poderes de administrador que julgo que nunca podemos remover!

    • Rascas says:

      Sim a PT utiliza uma conta de “Super User” nos routers Thompson, que tem mais poderes que o tradicional Admin. É atraves desta conta que eles se logam para proceder ao upgrade de firmware do router. A password desta conta não é do dominio publico e não pode ser alterada (está “hard-coded” no firmware).

      Eu considero isto “invasão da privacidade”, eu não sou cliente PT, não sei o que vem no contrato de prestação de serviços… mas sei que eles fazem isto.

      Talvez ligar para o apoio ao cliente e reclamar da situação, dizendo pelo menos que, não queres que eles te alterem as configurações do router, pode ser que resulte, embora eu duvide mto.

      • Não sou cliente PT, mas tenciono vir a sê-lo em breve.
        Também considero “invasão de privacidade”. Além do mais, estão a modificar configurações pessoais…
        Alguém tem mais alguma informação sobre este tema?
        Obrigado!
        Cumps

        • Tiago Pereira says:

          Boas Romeu,

          Eu também acho que é “invasão” mas quando se assina um contrato existem as letras pequeninas e lá diz que o router pode ser acedido.

          E quem fala na PT fala também na Zon.
          Quem tem os “netgear” em casa, quando existe uma actualização as próprias definições do router são alteradas.

          Eu trabalho com todos os ISP’s e não existe maneira de contornar isto.
          Os equipamentos são deles, quando assinas um contrato estás a alugar um equipamento.

          Por isso vai ter que se aguentar.

          cumpz
          Tiago Pereira

        • John says:

          Activem o modo bridge no equipamento fornecido, desliguem o WI-FI, e liguem um outro router WI-FI.

      • Marcelo says:

        Users:

        user: meo
        pass: meo

        user: sumeo
        pass: bfd,10ng ou m30acc355

        user: microuser
        pass: !C0nf16,M30

        user: Administrator
        pass: 3!play

        estes são os que conheço … experimentem

      • João Sousa says:

        Acima do “Super user” ainda existe o “Root user” e apesar de não se conhecer a palavra passe há um método de entrar como esse root user no router e aí fazer o que quiser. Para evitar que consigam modificar o teu router crias um novo utilizador root user e eliminas os existentes, desta forma deixam de conseguir entrar no router.

        • Videira says:

          Users:

          user: meo
          pass: meo

          user: sumeo
          pass: bfd,10ng ou m30acc355

          user: microuser
          pass: !C0nf16,M30

          user: Administrator
          pass: 3!play

        • @João Sousa,
          Obrigado. Podia explicar qual o método (sem ter de o explicar-depois procuro)?
          Cumps

        • Rascas says:

          Peço desculpa pelo lapso, qnd disse “Super user” estava-me a referir ao “Root user” visto que o “Super User” já era conhecido (o tal de “sumeo”.

          No entanto o João Sousa tem razão no que disse, agora já há maneira de entrar como root nos routers da Meo e configurar de maneira a que eles não tenham acesso. Não conhecia este método pq é recente, e a ultima vez que tinha pesquisado ainda não era conhecida esta forma. Testei a um bocado e funciona realmente.

          Não vou é por aqui como, pq como tb dizem aqui, no contrato está previsto que a PT possa ter acesso aos routers. Uma pesquisa mais aprofundada no Google e vão ver como se faz 😉

      • Paulo Gonçalves says:

        O problema é que é do dominio público!!!!!

  6. jrgaugusto says:

    … alterar definições de partilha avançada: desactivar todo menos a encriptação e a palavra passe. será que tb serve para alguma coisa?

  7. Filipe Rodrigues says:

    Bom post!
    Outra grande dica a meu ver seria desactivar a administração do router via wireless.

    • João Reis says:

      Alterando a Admin não te impede, depois de estar na rede, de sniffar o trafego, tendo já IP atribuido.

      De todas as medidas, a protecção WPA2 com uma senha realmente longa com numeros e letras capitais, bem como a limitação de atribuição de IPs, são quase suficientes.

  8. Diogo R. says:

    Ocultar a SSID nao ajuda quem tem o pc a ligar automaticamente a rede porque este enviará estará sempre a procura de uma rede com aquele nome.

    Eu uso WPA2, o nome é um espaço em branco xD, limite a 3IP’s atribuidos e tenho o UPnP desativado depois daquela polemica que conseguiam aceder a rede local atraves de uma falha nesse serviço.

    Quanto a firewall, o meu TP-Link nao dá grande margens de manobra, tem para la umas “virtual network” que ainda nao percebi para que seriam utilizadas

    • Diogo R. says:

      esqueci-me de mensionar que tambem tenho o WPS desativado por razões obvias, acho que deviam fazer um apanhado as dicas deixadas pelos leitores e lançar um “UPDATE” ao topico 🙂

  9. Carlos N says:

    A autenticação com Radius Server, sem dúvida é a melhor. Na nossa empresa utilizamos a Wireless de um Mikrotik com autenticação em um FreeRadius.
    Um bom tutorial é este: https://www.youtube.com/watch?v=j88bAXx7qZU

    Várias vezes fiz instalação por este vídeo e funcionou 100%.

    Alguém conhece algum Switch com VLAN e que suporte 802.1x na autenticação na rede com um preço acessível??

    Cumprimentos

  10. Manuel Silvea says:

    Eu juntava o subnetting – o que complica um pouco mais a vida a quem passar por algumas dessas medidas.

    Imaginem uma rede só com “espaço” para 2 hosts: 11.12.0.28/30

    Onde o primeiro IP seria para o router (11.12.0.29/30) e segundo para o computador (11.12.0.30/30) – se só tiverem 1 computador, claro.

    Alguns routers não “alinham” muito com subnetting entre classes ou mesmo IPs das classes A e B!

    Ver também:
    https://pplware.sapo.pt/windows/software/subnetting-sem-complicacoes/
    https://pplware.sapo.pt/networking/redes-como-calcular-sub-redes/

  11. Hcruz says:

    Resumindo, e como foi dito anteriormente noutros comentários, segurança a sério só em modo OFF!!

    O contributo individual de cada técnica referida neste artigo é diferente mas o segredo da segurança está no uso conjugado das várias soluções.

    A lógica é usar todos os mecanismos disponíveis para dificultar a intrusão, no entanto há um ponto fulcral que mal usado pode inviabilizar o sucesso das restantes – a password!
    Tendo em conta que as configurações são feitas no interface do router, quer a password de acesso à rede wireless, quer a password de acesso ao router devem ser robustas do pondo de vista da complexidade.
    De pouco vale ter as configurações muito bem feitas se o acesso ao wireless ou ao router estiverem protegidos por passwords básicas, estilo 1234.

    Para se obter uma password robusta devem-se combinar vários tipos de caracteres (Maiúsculas, minúsculas, números e caracteres especiais).
    Contudo, este tipo de password se não for bem desenhada pode transformar-se em algo humanamente incompreensível e difícil de decorar, com a consequente e natural simplificação da password.

    Assim, sugiro uma técnica chamada de transmutação, que consiste na substituição das vogais por números, com excepção da letra U.

    Temos então a seguinte relação:

    A = 4
    E = 3
    I = 1
    O = 0

    Isto permite-nos criar passwords com um nível elevado de complexidade mantendo a legibilidade da palavra; por exemplo:

    C4r4m3lo

    Facilmente se consegue ler a palavra Caramelo neste exemplo e além disso é algo que humanamente faz sentido na nossa cabeça.

    Uma forma de aumentar a complexidade sem prejudicar a legibilidade e memorização é através da conjugação de várias palavras; por exemplo:

    R3buç4d0-d3-C4r4m3l0

    Além do maior número de caracteres, foram acrescentados caracteres especiais sem que com isso de perca a capacidade de decorar uma vez que a password continua a representar algo com sentido.

    Para nos ajudar a calcular a robustez de uma password existem vários sites,um deles é
    https://howsecureismypassword.net/.
    No caso desta última password a previsão para quebrar a segurança cifra-se em qualquer coisa como um Octilhão de anos!! Tenha ou não algum fundamento de verdade, uma coisa é certa – é uma password com um nível de complexidade elevado e difícil de descobrir.

  12. tone says:

    Desculpem a ignorância, mas não percebo porque a mac não protege nada.
    É certo que é muito fácil de mudar a mac de uma placa de rede, mas é necessário conhecer as macs autorizadas de acesso à rede. Sabendo isso, restrições por mac de nada servem.
    Há mais alguma coisa que se possa fazer para além de mudara mac?

  13. Banucho Cassamo says:

    Acho que foste breve demais na explicacao de cada medida, se desses um pouco de detalhes de como implementar essas medidas ajudaria.
    Gostei do artigo, e estou ancioso em ver a continuacao

  14. Luís says:

    Bom dia a todos!

    O único problema de proteger com WPA/WPA2 é que limita a velocidade da ligação.

    A única forma que tive para contornar o “problema” foi esconder o SSID e fazer filtro por MAC Ad.

    Abraço

  15. ze says:

    tenho a minha rede aberto e nao me importo minimamente que a usem. Qd sinto que alguem está a afetar a performance, expulso-o.

    as regras sao bonitas para noobs, mas por si só nao bastam.
    existem duas bem mais importantes que não foram mencionadas no artigo.

    • Pedro says:

      Estava a perder a esperança de encontrar alguém que fosse capaz de partilha a rede. Será que todas as pessoas que aqui falam têm informação assim tão confidencial e precisem de tanta largura de banda que não possam partilhar o sinal. Pensem o melhor que seria se toda a gente fizesse isso…

      Claro que hoje em dia isto nunca vai acontecer, é cada um por si… triste porque na realidade os únicos que ficam a ganhar são mesmo os operadores

      • Pedro Ferrao says:

        Eu em casa, tenho um SSID numa VLAN especifica que se encontra aberto para quem se quiser ligar.
        Está limitado a nivel de velocidade e de acessos, mas para coisinhas simples, mail, facebook, pesquisas, youtube… está tudo a funcionar…

      • Miguel Rodrigues says:

        Para isso existe um projeto em crescimento, não é cada um por si não, tens a http://wirelesspt.net que pretende criar uma rede wireless comunitária e livre.

      • Hugo says:

        O problema é que as pessoas que querem pegar o sinal compartilhado não estão minimamente dispostas a compartilhar também os custos da conexão. Quer dizer, todo mundo tem internet e só o trouxa lá pagando.

    • John says:

      Por aquilo que dizes, depreendo que se ligam diretamente á tua rede, mesmo negando partilhas não será uma opção muito fiavel.
      1 – Sempre podes criar um hotspot
      2 – se o teu router permitir isolas todos os pc’s da rede para que nenhum consiga ver os outros ou cominicar.
      3 – nalguns routers tens a possibilidade de criares uma rede GUEST, assim não conseguem ver nem detetar o teu pc.

      Assim o teu pc fica seguro, tb podes limitar as velocidades de download. o tempo e os dias da semana que queres que ele fique activo ( alguns routers têm estas opções ).

  16. Hawk says:

    Com exceção das duas últimas, todas as outras medidas já estão implementadas em casa.

  17. ZedoPipo says:

    camada de n00bs, fdx

  18. Meetniq says:

    É sempre o mesmo, um artigo de segurança e os pseudo hackers saem logo do esgoto, é reaver etc, ver videos no youtube é realmente o vosso forte, até com uma encriptação WEP bem aplicada vocês ficam logo todos pelo caminho quanto mais wpa/wpa2, ide trabalhar.

  19. Anita says:

    A matéria é boa e as dicas,podiam era explicar como aplicá-las,pois para pessoas mais leigas em termos de informática de nada serve, pois não sabemos como pôr-las em prática.
    Tenho um problema gravíssimo,alguém entra no meu computador através do router e além de utilizar a minha Internet também se pôs como administrador do meu Pc e agora estou bloqueada,não posso fazer nada no pc,nem downloads,nem alterar configurações,nada mesmo.
    Já o formatei 2 vezes mas a pessoa faz tudo de novo.Estou desesperada e já não sei o que fazer,esta situação já dura há mais de 2 anos,tenho me resignado a utilizar o pc assim,mas gostava muito que alguém me pudesse ajudar a livrar disto.

    • John says:

      Ó Anita
      Já vai tarde, mas:

      1ª coisa a fazer é alterares o username e a password de entrada no router.

      2º Altera o nome da tua rede WI-FI.

      3º Na encriptação da rede WI-FI escolhes WPA2 / AES / PSK, e dps crias a password, nunca com menos de 8 digitos, numeros e letras e caracteres especiais.

      Para tornares a entrar no pc se não tens conhecimentos para driblar a entrada, vais ter que consultar alguem com conhecimentos de informática para aceder sem perderes dados.

      Neste caso é sempre melhor formatar dps de recuperar alguma informação por razões de segurança.

      • Anita says:

        Olá John,já mandei a PT bloquear a rede wifi do router,já tirei a placa de rede do pc,fiz de tudo.Ele está ligado por rede Lan,a luz do wireless no pc está sempre acesa na mesma,agora nem Internet tenho porque todas as pens internet que consegui instalar,depois o pc não as detecta,preciso mesmo de alguém que tenha um curso de redes da cisco ou outro,estou a ficar maluca,agora tenho que me resignar a vir ao ciber café para aceder à Internet,triste não é?Infelismente até os técnicos da Pc Clinic quando instalam a pen e depois quando está praticamente instalada,aparece o quadrado do Ms Dos por breves instantes,e a pen retrocede e desinstá-se e eles acham normal…Se houver alguém por aí que saiba como me tirar desta rede LAN eu agradeço do fundo do coração.Cumprimentos a todos.

  20. Anita says:

    Sou cliente PT e não aconselho ninguém,começam por cobrar o que está no contrato,eu deveria pagar 60€,mas desde há alguns meses começaram a cobrar serviços que estavam incluídos nesse valor mensal à parte de tal maneira que as minhas faturas agora chegam aos 90€ e mais euros,pois arranjam sempre coisas a mais para pagar,desde juros de facturas pagas em atraso,até cobrar por reposição de serviço depois de um corte que muitas vezes foi feito há mais de um ano(Que não deveria ser cobrado uma vez que não se deslocam,como por exemplo na água),etc…E o problema é que depois para rescindir o contrato é um problema,eu já arranjei maneira de rescindir o meu e nunca mais volto à PT,isso é certo,são uns ladrões!Não aconselho mesmo a ninguém,não se metam nisso,tenho bastantes amigos com o mesmo problema e que também estão a tentar rescindir contrato!

  21. John says:

    Que eu saiba, até á presente data o WPA2/AES/PSK (com password complexa)nunca foi quebrada.

    Muita parra pouca uva.

  22. Miguel Rodrigues says:

    Imagino se todos optássemos por encriptar o tráfego e mantivéssemos as redes abertas, tínhamos segurança nos dados na mesma e fossemos onde fossemos tínhamos Internet nos equipamentos, é isto que pretende fazer na Rede Mesh http://wirelesspt.net

  23. Eduardo says:

    Boa noite,
    Existe um método que sempre usei e sempre me pareceu o mais seguro, além de você bloquear os endereços MAC que podem acessar o wireless, bloqueie também o acesso ao modem via wireless, somente pode-se acessar o modem ou roter via cabo. O modem que usava tinha essa opção, agora com o upgrade de velocidade da internet me foi trocado o modem e não consigo encontrar esta opção… se alguém conhecer o modem humax por favor comente.

  24. Zé da Esquina says:

    O meu método é o mais seguro.
    O nome do meu SSID é “Virus.exe”.
    Infalivel!

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.