Configurando uma rede wireless

Em uma rede wireless, o dispositivo central é o access point (ponto de acesso). Ele é ligado no hub da rede, ou diretamente no modem ADSL ou cable modem, e se encarrega de distribuir o sinal para os clientes.

Ao contrário de um hub, que é um dispositivo “burro”, que trabalha apenas no nível físico e dispensa configuração, o access point possui sempre uma interface de configuração (similar à dos modems ADSL), que pode ser acessada via navegador, a partir de qualquer um dos micros da rede. Verifique no manual qual é o endereço e a senha padrão do seu.

Se o endereço padrão do ponto de acesso usar uma faixa diferente da usada na sua rede, é necessário configurar seu micro para usar temporariamente um endereço qualquer dentro da mesma faixa que ele, de forma que os dois passam enxergar.

Ao usar uma estação Linux, uma solução simples é criar um alias para a placa de rede. Isso permite que você acesse a configuração do modem sem precisar alterar sua configuração de rede. Se o endereço default do AP for 192.168.1.100, por exemplo (como o padrão de alguns dos modelos da LG), configure seu micro para usar um endereço dentro da faixa “192.168.1.x”, como em “192.168.1.2”. Se a sua placa é a “eth0”, o comando seria:

# ifconfig eth0:1 192.168.1.2

Depois de acessar da primeira vez, aproveite para definir uma senha de acesso e alterar o endereço padrão por um dentro da faixa de endereços IP usada na sua rede. A partir daí, ele se integra à sua rede local e você não precisa mais usar o truque de criar o alias para acessá-lo.

O próximo passo é configurar os parâmetros da rede wireless, incluindo o SSID da rede e o canal usado. Neste AP da LG, elas estão dentro do menu “Basic Settings”:

O SSID (ou ESSID) é o “nome” da rede wireless. Nomes diferentes fazem com que diferentes pontos de acesso dentro da mesma área de cobertura entendam que fazem parte de redes diferentes. Todo ponto de acesso vem com um SSID padrão, mas é importante modificá-lo, pois o nome default é geralmente o mesmo em todos os APs do fabricante.

O ponto de acesso pode trabalhar em dois modos diferentes. No modo “AP”, ele desempenha suas funções normais de ponto de acesso, dando acesso aos micros e notebooks com placas wireless. Já no modo “client”, ele se comporta como se fosse uma placa de rede, conectando-se a outro ponto de acesso. Como os pontos de acesso mais baratos custam muitas vezes quase o mesmo que uma (boa) placa wireless, muita gente prefere usar um ponto de acesso configurado como cliente em seu desktop, ao invés de comprar uma placa PCI. A vantagem, no caso, é que a instalação é mais simples (já que basta ligar na placa de rede) e a qualidade de recepção é melhor, pois o ponto de acesso cliente pode ficar sobre a mesa ou próximo da janela, em uma posição com menos obstáculos atenuando o sinal.

A lista dos canais disponíveis varia de acordo com a configuração de país no ponto de acesso. Em teoria, podem ser usados 17 canais, de 0 a 16. Porém, apenas 14 deles (de 1 a 14), são licenciados pelo FCC e a lista diminui mais um pouco de acordo com o país escolhido. Nos EUA é permitido o uso dos canais de 1 a 11; na Europa, de 1 a 13 e no Japão, de 1 a 14. Enquanto escrevo ainda não existe legislação sobre isso no Brasil, mas é provável que seja seguido o padrão dos EUA.

Usar canais diferentes é uma forma de minimizar interferências caso você esteja colocando vários pontos de acesso dentro da mesma área, ou perceba que existem pontos de acesso de vizinhos, muito próximos do seu. No capítulo 4 veremos como é possível escanear as redes próximas, usando o Kismet, e descobrir quais canais estão ocupados.

Existe uma diferença de freqüência de apenas 5 MHz entre cada canal, porém o sinal das placas 802.11b ocupa uma faixa de 30 MHz. Por isso, para que realmente não exista possibilidade de interferência entre dois pontos de acesso próximos, é preciso usar canais distantes, como, por exemplo, 1, 6 e 11 ou 1, 7 e 14. De qualquer forma, a moral da história é que, independentemente do canal usado, é preciso usar o mesmo tanto na configuração do ponto de acesso quanto na configuração dos clientes para que a rede funcione.

Uma última configuração, disponível na maioria dos pontos de acesso, é o ajuste de potência da antena. Em situações em que o alcance da rede é importante, você naturalmente deixaria a potência de transmissão no máximo ou, quem sabe, até substituísse a antena padrão, por uma de maior ganho. Mas, em situações onde você quer que a redes fique disponível apenas em uma área restrita, reduzir a potência é uma boa opção de segurança.

Hoje em dia, cada vez mais gente utiliza placas wireless e nada melhor do que usá-la para acessar a web de graça. Qualquer rede aberta acaba sendo rapidamente descoberta e usada pelos freeloaders. Pode ser que você seja uma pessoa magnânima e não se importe, mas, na maioria dos casos, a idéia é proteger a rede dos intrusos.

Entra aí a necessidade de ativar um sistema de encriptação. A grande maioria dos pontos de acesso permite que você escolha entre usar o WEP de 64 bits, WEP de 128 e WPA. O WEP, mesmo de 128 bits, é fácil de quebrar (como veremos em detalhes no capítulo 4). Por isso, a única opção que realmente adiciona uma boa camada de segurança é mesmo o WPA, que no meu caso está disponível dentro da seção “Security”:

Para uma rede doméstica, escolha a opção “Pre-Shared Key” (também chamada de WPA-PSK) com encriptação TKIP. Você deve, então, definir uma passphrase, uma espécie de senha, que serve como chave de autenticação, que deve ser fornecida na configuração dos clientes. Qualquer pessoa dentro da área de acesso que saiba a passphrase poderá se conectar à sua rede, por isso é importante que ela seja mantida em segredo e revelada apenas às pessoas autorizadas. Também é recomendável trocá-la periodicamente.

Ao usar a encriptação via WEP, temos as chaves de encriptação, que possuem a mesma função da passphrase do WPA. Você tem a opção de criar uma chave usando caracteres hexadecimais (onde temos 16 dígitos: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F e cada dígito equivale a 4 bits) ou usar caracteres ASCII, onde é possível misturar letras, números e caracteres especiais.

Ao usar caracteres hexadecimais, a chave terá 10 dígitos (“123456789A”, exemplo). Se a chave for em ASCII, onde cada caracter equivale a 8 bits, a chave terá apenas 5 dígitos (“qwert”, exemplo). Ao usar o WEP de 128 bits, a chave terá 26 dígitos em hexa ou 13 em ACSII.

Veja que 10 caracteres hexadecimais formam uma chave de apenas 40 bits (4 por caracter). Este é justamente o problema fundamental das chaves de 64 bits: na verdade, são duas chaves separadas, uma de 40 bits e outra de 24 bits (chamada de vetor de inicialização), que é, justamente, a parte vulnerável da chave, que permite quebrar a chave principal.

Uma chave de 64 bits sem problemas óbvios poderia oferecer uma segurança aceitável, mas uma chave de 40 bits é fraca em todos os aspectos. No caso das chaves de 128 bits, a chave de encriptação tem 104 bits, mas continua sendo usado o vetor de 24 bits, o que torna a chave vulnerável.

Outra forma de reforçar a segurança é ativar o controle de acesso baseado nos endereços MAC da placa de rede. Através desta opção (“Access Control”, no meu caso), você pode definir uma lista de placas “autorizadas”, declarando o endereço MAC de cada uma. Lembre-se de que você pode checar o endereço MAC de cada placa usando o comando “ifconfig” no Linux, como em:

# ifconfig wlan0

wlan0 Encapsulamento do Link: Ethernet Endereço de HW 00:15:00:4B:68:DB
inet end.: 192.168.1.12 Bcast:192.168.1.255 Masc:255.255.255.0
endereço inet6: fe80::215:ff:fe4b:68db/64 Escopo:Link
UP BROADCASTMULTICAST MTU:1500 Métrica:1
RX packets:38 errors:5 dropped:12523 overruns:0 frame:0
TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:529611 (517.1 KiB) TX bytes:61025 (59.5 KiB)
IRQ:3 Endereço de E/S:0x8000 Memória:fe8ff000-fe8fffff

O ifconfig só mostra as propriedades das redes ativas. Caso necessário, você pode ativar a placa wireless (sem precisar configurar a rede), usando o comando “ifconfig placa up”, como em:

# ifconfig wlan0 up

O controle de acesso dificulta o acesso à rede, mas não é uma solução por si só, pois é fácil falsear o endereço MAC da placa de rede. Ele deve ser sempre usado em conjunto com um dos sistemas de encriptação.

Depois da configuração do ponto de acesso, vem a configuração dos clientes que se conectarão a ele.

Nos clientes Windows, clique com o botão direito sobre o ícone da placa wireless dentro do “Painel de Controle > Conexões de rede”. Ele mostra uma lista das redes disponíveis e a qualidade do sinal de cada uma. No caso das redes com WEP ou WPA ativado, você precisa fornecer a chave ou passphrase para se conectar (o suporte a WPA está disponível apenas a partir do Windows XP SP2, nas versões anteriores você depende dos utilitários fornecidos pelos fabricantes):

A configuração é feita em dois níveis. Primeiro é necessário se “associar” ao ponto de acesso, o que estabelece a conexão de rede e em seguida fazer a configuração normal de endereços. Por default, o Windows tenta configurar a rede via DHCP, mas você pode definir os endereços manualmente dentro da configuração do protocolo TCP/IP, nas propriedades da conexão wireless:

Na aba “Wireless Networks” você pode ajustar manualmente os parâmetros do ponto de acesso e também se conectar a redes “ocultas” (com o “SSID Broadcast” desativado no ponto de acesso), que não aparecem na varredura do assistente. Esta é outra configuração comum em redes projetadas para serem seguras, pois muitas ferramentas de varredura (como o Netstumbler) não detectam a rede caso o ponto de acesso não divulgue o SSID.

Caso você use um notebook e precise se conectar a várias redes diferentes, de acordo com o local, adicione cada uma dentro da configuração, especificando o nome, o tipo de encriptação e a chave/passphrase de acesso e estabeleça uma ordem de prioridade. Ao ligar o note, o Windows tenta se conectar à primeira rede e, quando ela não estiver disponível, tenta as outras da lista, até conseguir estabelecer a conexão com sucesso:

Para que este sistema de conexão automática funcione, é necessário que o serviço “Configuração zero sem fio” (ou “Wireless zero configuration”, na versão em inglês) esteja ativo no “Painel de Controle > Ferramentas administrativas > Serviços”.

Temos em seguida a configuração dos clientes Linux. Se a placa já tiver sido detectada corretamente, não existem grandes dificuldades. No Ubuntu e em outras distribuições que incluem o “network-admin”, acesse as propriedades da placa wireless, onde você deve indicar o SSID da rede, o tipo de encriptação e a chave de acesso. Na mesma tela vai a configuração de IP, máscara e gateway, ou DHCP:

Uma observação importante é que o network-admin (pelo menos até o Ubuntu 6.6) ainda não oferece suporte ao WPA. Neste caso, você deve usar o wpa_supplicant, que aprenderemos a configurar a seguir. Ele não é particularmente difícil de usar e permite especificar diversas redes diferentes e definir uma ordem de prioridade. Ele passa, então, a testar cada uma das redes e a se conectar na primeira disponível. A principal falha é que não existe nenhuma interface gráfica utilizável para ele, de forma que a configuração ainda precisa ser feita manualmente.

Ao usar o Kurumin, você pode utilizar o “wireless-config” (Painel de Controle > Conectar na Internet e configurar rede > Wireless > Configurar os parâmetros da rede wireless), meu script de configuração que, a partir da versão 6.1, oferece suporte a WPA, servindo como uma interface para o wpa_supplicant:

Outra boa opção é o Kwifimanager, um pequeno utilitário, baseado na biblioteca QT (do KDE), que permite configurar vários perfis de redes wireless e alternar entre eles rapidamente. Ele está disponível em várias distribuições e é uma ferramenta essencial para quem carrega o notebook para cima e para baixo e utiliza redes diferentes ao longo do dia.

Hoje em dia, com exceção das redes públicas ou mantidas pelos provedores de acesso, quase todas redes wireless são protegidas, usando uma combinação de uma chave de encriptação (WEP ou WPA), controle de acesso baseado no endereço MAC das placas de rede autorizadas, uso de um canal específico e nome da rede.

Como a questão da (ou falta de) segurança em redes wireless é muito divulgada, apenas os muito desleixados deixam suas redes desprotegidas hoje em dia. Nenhum sistema de segurança para redes wireless em uso é inquebrável, mas a combinação de várias dificuldades pode tornar sua rede difícil de invadir o suficiente para que procurem outro alvo mais fácil.

É a mesma questão do roubo de carros: você não precisa tornar seu carro impossível de roubar; precisa apenas fazer com que ele seja mais difícil de levar que os que estão estacionados ao lado. O problema é que quanto mais camadas de proteção são adicionadas, mais trabalhosa se torna a configuração da rede. O Kwifimanager facilita a configuração, permitindo juntar o melhor dos dois mundos.

Para instalar, procure pelo pacote “kwifimanager” no gerenciador de pacotes da distribuição que está utilizando. Ele é atualmente bastante popular e, por isso, encontrado nas principais distribuições. Nas baseadas no Debian, por exemplo, você pode instalá-lo com um “apt-get install kwifimanager“. Em muitas distribuições, o Kwifimanager é incluído dentro do pacote “kdenetwork“, geralmente instalado por padrão junto com o KDE. Na pior das hipóteses, use o Google para procurar um pacote compilado.

A página oficial é a: http://kwifimanager.sourceforge.net/.

Ao ser aberto, ele automaticamente procura por redes disponíveis. Caso você já tenha configurado o sistema para se conectar a uma rede, usando outro utilitário, ele mostra os detalhes da conexão e fica residente ao lado do relógio, mostrando um gráfico com a potência do sinal.

Para se conectar a uma rede, clique no “Procurar por Redes“. Ele tem a mesma função do comando “iwlist wlan0 scan”, ou seja, detectar redes públicas, onde a encriptação está desativada e o ponto de acesso divulga o ESSID da rede, ou mostrar quais das redes cujo perfil você já tenha configurado estão acessíveis no momento.

Quando o sinal da rede estiver fraco e você estiver procurando um lugar melhor para se conectar, marque a opção “Varredura acústica” no menu “Config”. Ao ativar esta opção, o Kwifimanager começa a emitir um bit periódico que indica a potência do sinal: quanto mais alto o bip, melhor é a qualidade do sinal, o que permite que você se guie pelo som para sair da área com interferência.

Quase todos os notebooks possuem uma chave que permite desativar o rádio da placa wireless quando ela não estiver sendo utilizada. Isso serve tanto para economizar as baterias, quanto como uma precaução de segurança. Clicando no menu “Arquivo” do Kwifimanager você tem a opção de fazer isso via software.

Outro recurso interessante é a janela de estatísticas da conexão, que permite monitorar a qualidade do sinal da rede, detectando em que áreas do local o sinal é melhor.

Até aqui, apenas estamos usando o Kwifimanager como monitor para uma conexão de rede já configurada. Mas, ele oferece a opção de configurar a rede diretamente, dentro da opção “Config > Editor de Configuração”. Você pode criar até 4 configurações diferentes, incluindo o ESSID (que vai no campo “nome da rede”), incluir a chave de encriptação, caso exista, e configurar as opções de economia de energia da placa.

Na opção “Ajustando velocidade”, prefira usar sempre a opção “Automático“, que permite que o utilitário baixe a velocidade de transmissão caso o sinal esteja fraco. Lembre-se de que as redes 802.11b podem transmitir a 11, 5.5, 2 ou 1 megabit, onde quanto mais baixa a velocidade de transmissão, maior é o alcance do sinal. Se você forçar o uso de 11 megabits, não vai conseguir captar o sinal da rede quando estiver distante do ponto de acesso.

Ao usar um ponto de acesso, você deve marcar sempre a opção “Infraestrutura”. O modo “Ponto-a-ponto” (ad-Hoc) é usado apenas ao conectar diretamente dois micros, sem ponto de acesso.

No campo “Executar script ao conectar”, você especifica o comando usado para configurar os endereços da rede (IP, máscara, etc.), que será executado ao conectar ou ao trocar de profile.

Para configurar a rede via DHCP, preencha o campo com o comando “dhclient” (no Fedora ou Mandriva), “dhcpcd” (outras distribuições) ou “pump -i wlan0” (no Debian). Você pode também escrever um script com a configuração completa da rede (como vimos anteriormente), marcar a permissão de execução para o arquivo e indicá-lo aqui.

Depois de configurar os profiles referentes a todas as redes que utiliza, marque a opção “Carrega a configuração pré-ajustada ao iniciar o KDE” para que a configuração mais usada seja ativada no boot. Ao mudar para outra rede, acesse novamente o menu e troque o perfil.