Segurança wireless

Uma década depois, os provedores estão a distribuir routers wireless como as lojas de departamentos costumavam distribuir publicidade. Mas, que medidas foram tomadas para garantir a segurança de todas essas redes wireless? No início, havia o WEP (Wired Equivalent Privacy), que pode ser facilmente hackeado)e é praticamente inútil nos dias de hoje. Veio então o seu sucessor, o WPA, que basicamente era o WEP com chaves rotativas, mais uma vez, muito inútil na prática (http://www.aircrack-ng.org/).
Por fim, veio o WAP2, que utiliza o algoritmo de criptografia AES (algoritmo forte) e possui uma boa configuração de chave, dificultando a invasão. E essa é toda a segurança wireless que existe para a maioria das pessoas. Você compra um router wireless, escolhe uma password para a interface de gestão, configura o WAP2 com uma boa password, e é só.
Para piorar as coisas, a maioria dos routers wireless executa sistemas operativos muito simples (algumas vezes chamados firmware) que possuem apenas a capacidade necessária de conectá-los à rede e nada mais. Além disso, a maioria desses firmwares estão desactualizados, contêm falhas de segurança ou simplesmente não oferecem um desempenho de confiança (reinicie o router todos os dias para mantê-lo a funcionar) ou rápido (200 Kbps para transferência de ficheiros numa linha de 15 Mb).
Portanto, o que precisa ser feito para garantir a segurança do router que irá suportar mais do que somente o WAP2 e um tráfego simples de pacotes? E se for preciso que o router wireless funcione como um VPN ou como um servidor VPN. E se for necessário, um suporte ao protocolo IPv6? Existem três opções principais: comprar um router wireless feito para permitir um sistema mais completo (Mikrotikou Soekris), utilizar uma placa wireless num sistema Linux e configurá-la com um router wireless; ou comprar um router wireless mais económico que seja suportado pelo OpenWrt, o DD-WRT ou o Tomato.

Que opções temos?
A primeira opção é muito simples: com um gasto entre 60 e 200 euros (compra-se o sistema, a placa wireless, a fonte de energia e o gabinete), utilize o firmware que vem de fábrica ou instale um sistema simplificado, e tudo estará pronto. A principal desvantagem é o custo, apesar de alguns gabinetes aceitarem três ou mais placas wireless e oferecerem múltiplas interfaces de rede (incluindo o Gigabit Ethernet).
A segunda opção é mais económica mas, normalmente, possui um problema: os firewalls estão geralmente em salas de servidores, gabinetes wireless ou outras áreas que não são ideais para o posicionamento de antenas. Porém, se quiser seguir esse caminho (ou porque a localização não é um problema ou porque há uma extensão de cabo para a antena), experimente o HostAP para Linux (http://hostap.epitest.fi/).
O que me leva a uma terceira opção: compre um router wireless económico e instale o firmware customizado que oferece maior capacidade e maior fiabilidade. Para tornar tudo mais interessante, cada um desses três firmwares de código aberto (Open Source) possui uma filosofia de projecto diferente, o que resulta em três produtos bastante distintos, garantindo que um deles irá servir as suas necessidades.

Tomato
O Tomato não inclui muitos recursos, mas essa não é a sua intenção; “o Tomato é pequeno e flexível; com apenas um firmware de substituição” (http://www.polarcloud.com/tomato/), o que o torna o mais simples dos três. Se os recursos como capacidades VPN ou ligação de rede não forem necessários, então o Tomato é um óptimo substituto para o firmware que vem de fábrica. Particularmente gosto muito da interface do Tomato. É incrivelmente simples, fácil de utilizar e de configurar; a instalação também é simples (figura 1).
 
DD-WRT
O DD-WRT (http://www.dd-wrt.com/site/index) oferece vários esquemas, desde o Micro e Mini genérico com capacidades limitadas (similar ao Tomato), até aos específicos para VoIP e VPN. Há de tudo, desde Hotspot, IPv6, Open-VPN, PPTP, ProFTPD, SNMP, SSH e Telnet até ao cliente Samba CIFS (para montar o Windows no dispositivo). Optei pelo esquema VPN e recomendo esse produto. Ele possui EoIP (Ethernet over IP, que permite interligar as redes), VLAN, QoS e firewall avançado (inclui a capacidade de bloquear redes P2P específicas).
 
OpenWrt
O OpenWrt (http://openwrt.org/) é mínimo e, na primeira vez, não me impressionou muito, mas possui um sistema de pacotes para complementos adicionais. Há de tudo, desde o Squid, NTP, Open- VPN, CUPS (suporte de impressão) e light HTTPD até servidor IRC, Nagios, Asterisk e a linguagem de programação Perl. Basicamente, o OpenWrt faz tudo o que for necessário. O único problema é que será preciso um router com espaço de armazenamento e memória suficiente (o WRT54GLs que testei está muito abaixo do necessário, com apenas 4 MB de flash RAM e 16 MB de memória de sistema). O meu conselho é comprar algo com 8 MB de memória, como o WRTSL54GS.
 

(Edição B!T 150)