REDES LOCAIS WIRELESS BÁSICOGUIA PRÁTICO

Sérgio Ricardo de Souza RezendeNovembro 2017

Sumário

Capítulo 1-Introdução1.1-Redes sem Fio (Wireless Network)1.2-Padrões de Redes Sem Fio1.3-Segurança em Redes Sem Fio1.4-Características de Roteadores WI-FI1.5-Antenas

Capítulo 2-Configurações de Redes Locais Sem Fio2.1-BSS (Basic Service Set)2.2-Configurações Básicas de um Roteador WI-FI2.3-DHCP e DNS2.4-DMZ e Redirecionamento de Portas2.5-DDNS2.6-Firewall2.7-Controle de Largura de Banda2.8-Ferramentas de Sistema2.9-ESS (Extended Service Set)

Capítulo 3-Testes Básicos de Conectividade na Rede WI-FI

Capítulo 4-Teste de Alcance e Interferência

Capítulo 5-Outras Possíveis Fontes de Interferência em Redes WI-FI

Capítulo 6-Repetidor WI-FI

Capítulo 7-Testes de Desempenho de Redes Sem Fio com Iperf

Capítulo 8-Teste Básico de Segurança e Vulnerabilidades de Roteadores

Capítulo 9-Senhas de Acesso

Anexo A-Modelo OSI e Pilha de Protocolos TCP/IP

Anexo B-Endereçamento IPv4

Anexo C-Portas de Serviços TCP/UDP bem conhecidas

Anexo D-Portas de Serviços Registrados pela ICANN/IANA

Anexo E-Padrões de Sequências de Fios para Canectores RJ-45

Fontes de Pesquisa e Suporte

CAPÍTULO 1 – INTRODUÇÃO

1.1 REDES SEM FIO (WIRELESS NETWORK)

Rede sem fio ou mais conhecida por seu nome em inglês wireless network, é umainfraestrutura de rede que permite a comunicação e transferência de dados entre equipamentoscomo, por exemplo, roteadores Wi-Fi, notebooks, impressoras Wi-Fi, smart phones, smart tvs emuitos outros através do ar utilizando ondas de rádio.

O termo conhecido por Wi-Fi (Wireless Fidelity) é uma marca registrada pela organizaçãosem fins lucrativos Wi-Fi Alliance (www.wi-fi.org), que certifica produtos de rede local sem fios(WLAN – Wireless Local Area Network) baseados no padrão IEEE 802.11.

Figura 1-1 Logo Wi-Fi

As redes sem fio vem ganhando ano a ano cada vez mais espaço nos pequenos escritórios eresidências pelo fato de serem relativamente fáceis de implantar e configurar, além de seu baixocusto e também de não necessitar de instalação de cabeamento estruturado. Todos os equipamentosmodernos citados no início deste texto já saem equipados de fábrica com interfaces de rede sem fio,este fato se torna mais um atrativo para sua adoção pois sua implantação é rápida e sem custosadicionais necessitando apenas sua configuração para acessar a rede já estabelecida.

É lógico que as redes sem fio também possuem algumas limitações como, por exemplo,interferências de outras redes sem fio muito próximas e outros equipamentos que utilizam a mesmafrequência 2.4 GHz como micro-ondas e telefones sem fio e ainda barreiras que podem diminuir odesempenho da rede sem fio como concreto, gesso, vidros blindex, metais, espelhos e ambientescom muitas paredes de tijolos.

As redes sem fio também podem ser estendidas através de repetidores ou com a instalaçãode mais roteadores configurados como pontos de acesso para aumentar o alcance em locais onde osinal possui baixa intensidade.

Os roteadores atuais para uso em residências e pequenos escritórios que podemos encontrarem lojas de produtos de informática possuem todos os padrões de modos de transmissão esegurança mais comuns para redes sem fio, estas características resultam em uma amplacompatibilidade com diversos tipos de dispositivos de rede sem fio. Geralmente um roteador Wi-Fibásico possui pelos menos uma antena de transmissão interna ou externa, um conector RJ-45 pararede WAN e até quatro conectores RJ-45 para rede LAN.

Agora terminamos por aqui esta breve introdução as redes sem fio (Wi-Fi/Wireless),podemos prosseguir para algumas explicações mais detalhadas dos padrões e configuraçõesnecessárias para implementar uma rede sem fio, como definir a segurança de acesso, como verificaro alcance e possíveis barreiras e interferências, testar a taxa de transferência da rede LAN e WAN,como configurar serviços DHCP, DNS e DDNS, redirecionamento de portas, definir controle debanda e, por fim, configurar uma rede sem fio estendida com três roteadores.

1.2 PADRÕES DE REDES SEM FIO

O padrão IEEE 802.11 define os modos de transmissão mais comuns encontrados na maioriadas redes sem fio atuais e estão relacionados na tabela logo abaixo.

PROTOCOLO FREQUÊNCIA LARGURA DE BANDA

VELOCIDADE DE TRANSFERÊNCIA

ALCANCEMÉDIO

802.11b 2.4 GHz 22 MHz 11 Megabits 30 m

802.11g 2.4 GHz 20 MHz 54 Megabits 30 m

802.11n 2.4/5 GHz 20/40 MHz 70/150/300 Megabits 50 mTabela de características dos padrões 802.11

1.3 SEGURANÇA EM REDES SEM FIO

Um problema clássico de redes sem fio é o fato de que como a transmissão de dados é feitapelo ar, qualquer pessoa com um equipamento com interface Wi-Fi que esteja ao alcance do sinalpode interceptar a transmissão e até mesmo conecta-se a rede, deste modo surgiu a necessidade decriar um meio de proteger as redes sem fio. Este meio de proteção é feito através de senhas deacesso a rede e encriptação dos dados transmitidos pela rede Wi-Fi. A seguir estão relacionados osmais comuns meios de proteção para redes Wi-Fi e suas características básicas.

• WEP (Wired Equivalent Privacy): o primeiro protocolo de segurança criado para redessem fio utilizando 64/128 bits para encriptação, o protocolo WEP utiliza um sistema desenhas compartilhadas para criptografar a transmissão de dados. Atualmente o WEP estáobsoleto e por questões de segurança não se deve usar este sistema, pois suasvulnerabilidades de segurança são bem conhecidas e fáceis de explorar.

• WPA (Wi-Fi Protected Access): o protocolo WPA é uma evolução direta do WEP pararesolver seus problemas de segurança. O WPA utiliza um sistema que troca periodicamente achave de encriptação (TKIP-Temporal Key Integrity Protocol). Este padrão também éconsiderado obsoleto e só deve ser usado em casos raros para compatibilidade entreequipamentos.

• WPA2 (Wi-Fi Protected Access 2): o protocolo WPA2 é atualmente o padrão de segurançamais confiável para redes sem fio. O WPA2 utiliza um sistema de criptografia mais robusto(AES-Advanced Encryption Standard) considerado muito seguro e que utiliza chaves decriptografia de 128/256 bits. Portanto este padrão deve ser a primeira escolha para manteruma rede sem fio com um nível aceitável de segurança.

• WPS (Wi-Fi Protected Setup): o protocolo WPS foi criado para facilitar a configuração denovos dispositivos na rede sem fio sem a necessidade de digitar senhas. Para conectar umnovo dispositivo basta pressionar o botão WPS localizado no roteador e depois apertar obotão WPS no dispositivo. Este padrão apresentou há algum tempo atrás uma grave falha desegurança em roteadores que vinham habilitados de fábrica com (WPS PIN) ativado,portanto para elevar o nível de segurança na rede sem fio é aconselhável desabilitar estafunção.

1.4 CARACTERÍSTICAS DE ROTEADORES WI-FI

Atualmente encontramos diversos fabricantes de roteadores e uma variedade muito grandede modelos com configurações que vão do básico ao avançado. Basta escolher o modelo que atendasuas necessidades em relação a sua infraestrutura e mãos a obra. A seguir temos uma relação dascarateristas mais importantes de duas marcas bem conhecidas no mercado para escolha correta aocomprar um roteador Wi-Fi.

MARCA/MODELO VELOCIDADE ANTENAS PORTAS RJ-45 EXTRAS

TP-LINK TL-WR740N

150 Mbps 1 x 5dBi 1-WAN/4-LAN10/100 Mbps

D-LINKDIR-610B1

150 Mbps 1 x 5dBi 1-WAN/4-LAN10/100 Mbps

IPv6/DDNS free

TP-LINK TL-WR841N

300 Mbps 2 x 5dBi 1-WAN/4-LAN10/100 Mbps

IPv6Guest Network

D-LINKDIR-615

300 Mbps 2 x 5dBi 1-WAN/4-LAN10/100 Mbps

IPv6/DDNS free

TP-LINKTL-WR1043ND

450 Mbps 3 x 5dBi 1-WAN/4-LAN10/100/1000

1-USB 2.0

D-LINKDIR-809

750 Mbps 3 x 5dBi 1-WAN/4-LAN10/100 Mbps

IPv6/DDNS free

Tabela de características de roteadores Wi-Fi

Nota: Todos roteadores aqui relacionados possuem os padrões mais comuns como modo detransmissão (802.11bgn), frequência (2.4 GHz) e segurança (WEP/WPA-TKIP/WPA2-AES/WPS),além de interface Web para configuração e gerenciamento.

Todos os roteadores Wi-Fi relacionados na tabela anterior possuem funcionalidadesintegradas de Gateway de Internet, Switch de quatro portas 10/100 Mbps e ponto de acesso sem fio.

Os roteadores que possuem de duas o mais antenas utilizam a tecnologia (MIMO-MultipleInput Multiple Output), esta característica fornece a capacidade de transmissões simultâneasatravés das antenas em Tx e Rx criando múltiplas entradas e saídas aumentando significantemente osinal Wi-Fi e a taxa de transferência de dados.

Os roteadores Wi-Fi também oferecem outros serviços indispensáveis para o funcionamentocorreto de uma rede cabeada ou sem fio que estão relacionados logo abaixo.

• DHCP: servidor de configuração automática de endereços IP para hosts clientes.• DMZ: área para acesso irrestrito através da Internet (DVRs, Cameras IP).• Redirecionamento de Portas: criar acesso através da Internet para servidores ou serviços

específicos localizados na rede interna LAN.• Firewall: segurança básica (SPI) e avançada com filtros (ICMP,UDP,TCP-SYN), proteção

contra ataques (DoS).• DDNS: sistema de nome de domínio dinâmico.• ACLs: listas de controle de acesso à Internet por endereços IP, protocolos, portas e domínios

para negar ou permitir acesso.• Controle de Banda: para criar regras de limites de taxa de transferência de entrada e saída

através da interface WAN.• Ferramentas de Diagnostico de Redes: Ping para testar conectividade de rede e Traceroute

para verificar caminho até determinado endereço IP de destino.

1.5 ANTENAS

Os roteadores Wi-fi apresentados na tabela anterior possuem por padrão de fábrica, antenasomnidirecionais de 5 dBi que concentram o sinal em um raio de 360 graus na horizontal. Para que odesempenho da rede Wi-Fi seja satisfatório em relação as antenas o roteador deve ser instalado naárea central de uma residência ou escritório, as antenas devem sempre ficar na posição vertical e auma altura media de 1.30 metros ou mais para maior cobertura do ambiente.

CAPÍTULO 2 – CONFIGURAÇÕES DE REDES LOCAIS SEM FIO

2.1 BSS (Basic Service Set): o conjunto básico de serviços é o modo mais comum paraimplementar uma rede sem fio. Este modo é composto de terminais sem fio móveis ou fixos eterminais cabeados fixos conectados através de um roteador Wi-Fi central fornecendo comunicaçãotanto na rede interna cabeada “LAN”, rede sem fio “WLAN” e rede a externa “WAN” Internet. Umexemplo de BSS pode ser observado no diagrama logo abaixo.

Diagrama de exemplo básico de uma BSS.

2.2 CONFIGURAÇÕES BÁSICAS DE ROTEADOR WI-FI TP-LINK TL-WR841N

Para iniciar a configuração de um roteador Wi-Fi do fabricante TP-Link conecte um cabo derede cat5 em uma das conexões RJ-45 de LAN do roteador e conecte outra em um PC ou Notebookcom sistema operacional Windows 7 usado neste exemplo, aguarde aproximadamente um minutono máximo e siga os passos de 1 a 7.

1-Clique no botão iniciar na barra de tarefas do Windows, digite “cmd” e pressione Enter.

Botão Iniciar do Windows 7.

2-No “prompt” digite o comando “ipconfig” e verifique o endereço IP do “Gateway Padrão”.

Janela de Prompt de Comando do Windows 7.

3-Execute o navegador Web de sua preferência e digite o endereço IP do “Gateway Padrão”. Napágina de login do roteador que será exibida digite o usuário e a senha padrão de fábrica doequipamento, geralmente usuário: admin e senha: admin.

Janela do navegador Internet Explorer 11 com página de login do roteador TP-Link.

Nota: não esquecer de conectar um cabo cat5 na conexão RJ-45 “WAN” do roteador aoequipamento fornecido pelo provedor de Internet (Modem, Roteador, Rádio, ONU etc).

4-Para configurar o acesso à Internet é necessário ter previamente as informações dos parâmetros deconfiguração do provedor, temos três possíveis tipos de conexões mais comuns utilizadas. Apósterminar a configuração do acesso à Internet teste a conexão abrindo algum site de sua preferênciaou digite no prompt o comando “ping” seguido de algum endereço de algum site. Segue logo abaixoas telas de configuração com suas devidas explicações.

Em interfaces LAN/WAN do roteador geralmente esta configurado como padrão de fábricao tipo de conexão WAN de IP Dinâmico, este é o tipo mais simples de configurar pois bastaconectar o cabo cat5 na Interface WAN do roteador para obter as configurações automaticamente.

Conexão WAN IP Dinâmico.

O tipo de conexão WAN de IP Estático é necessário obter através do provedor de Internet osendereços IP do cliente, a máscara de sub-rede utilizada, endereço IP do Gateway Padrão eendereços IP dos servidores de DNS.

Conexão WAN IP Estático.

O tipo de conexão WAN PPPoE é necessário obter através do provedor de Internet o nomede usuário e a senha de acesso para configurar a conexão.

Conexão WAN PPPoE.

5-Para configurar a rede sem fio do roteador Wi-Fi é necessário dar um nome para rede wireless,este nome será o identificador (SSID – Service Set Identification) da rede Wi-Fi, utilize o modo11bgn para maior compatibilidade entre dispositivos Wi-Fi, utilize a largura de banda 20 MHz paraevitar interferências de outros roteadores Wi-Fi próximos, 40 MHz para aumentar a potência e oalcance através de dois canais simultâneos ou deixe em automático, selecione um canal entre 1 a 11ou deixe em automático. Em relação aos canais veremos adiante como verificar canais através deuma ferramenta para evitar possíveis interferências.

Configuração de Rede Sem Fio “Wireless”.

6-Para configurar o nível de segurança de acesso a rede wireless selecione a versão “WPA2-PSK” ecriptografia “AES”, esta é atualmente a melhor opção de segurança para redes Wi-Fi, para finalizarescolha uma senha de no mínimo oito dígitos ou maior de preferência e bem elaborada com umamistura de letras maiúsculas/minúsculas, números e caracteres especiais. Nota: Nunca utilize asenha de exemplo usada na captura logo abaixo.

Configuração de Segurança de Rede Sem Fio “Wireless”.

7-Para evitar que usuários da rede sem fio ou invasores externos obtenham acesso fácil a interfacede configuração e gerenciamento do roteador Wi-Fi é necessário alterar o usuário e a senha padrãoatravés das ferramentas do sistema, digite o nome do novo usuário e uma senha e salve asmudanças.

Configuração de Usuário e Senha de acesso a interface do roteador Wi-Fi.

2.3 DHCP e DNS

Os roteadores Wi-Fi vem de fábrica com um servidor (DHCP – Dynamic Host ConfigurationProtocol) para fornecer automaticamente as configurações de endereços IP, mascara de sub-rede,endereço de “Gateway Padrão” e endereços de servidores de (DNS – Domain Name System) aoshosts que serão conectados a rede “LAN” e “WLAN”.

Para personalizar as configurações conforme a necessidade da rede como, por exemplo,utilizar uma faixa de endereço IP diferente do padrão de fábrica ou utilizar endereços de servidoresde “DNS” públicos e até definir e reservar um endereço estático para algum host associado a seuendereço físico “MAC”, acesse na interface web do roteador a função “DHCP/ConfiguraçõesDHCP” para as devidas alterações personalizadas.

Obs. Sempre altere o endereço IP da interface “LAN” do roteador para que fique dentro damesma faixa personalizada que for utilizar na rede.

Configurações personalizadas de faixa de endereço IP (192.168.10.100 até 199) e servidores de“DNS” públicos do Google.

Configurarão de endereço estático para host, útil em alguns casos como endereçamento deservidores, impressoras de rede e “DVRs” que necessitem de um endereço fixo na rede “LAN”.

Para gerenciar e verificar quais hosts estão conectados na rede utilizando o servidor“DHCP” do roteador acesse “DHCP/Lista de Clientes DHCP”, observando a lista de clientespodemos ter uma visão geral de todos dispositivos conectados automaticamente ao roteador, estaopção é muito útil para verificarmos se há possíveis hosts não autorizados acessando a rede“WLAN”.

Lista de clientes conectados através do servidor “DHCP” do roteador com informações deendereços físicos “MAC”, endereços “IP” e tempo de atribuição.

Os servidores recursivos de “DNS” fornecem o serviço de tradução do nome de domínio deum site na Internet para seu respectivo endereço IP, sem essa função seria praticamente impossívelnavegar na web pois teríamos que saber os endereços IP dos sites em vez de digitarmos umendereço de “URL” como, por exemplo, “https://google.com.br”. Os roteadores Wi-Fi funcionampor padrão como servidores recursivos de DNS local, mas podemos utilizar também servidores de“DNS” personalizados através das configurações do servidor “DHCP”.

Existem várias opções de servidores de “DNS” gratuitos ou públicos na Internet, algunsfornecem serviços básicos de resolução de endereços e outros possuem politicas de privacidade dosdados e filtros de segurança com capacidade de bloquear sites suspeitos e de conteúdo proibido.

Os servidores de “DNS” em destaque em relação a segurança são os da Norton Connect Safe“https://connectsafe.norton.com/”, eles oferecem filtros de proteção bloqueando conteúdo de sitessuspeitos em três níveis: A para segurança (malwares, sites de phishing e scam), B para segurança epornografia, C para segurança, pornografia e outros conteúdos considerados abusivos. Os serviçosoferecidos pelo servidor Open DNS Family Shield são pré-configurados para bloquear conteúdoadulto. Os serviços oferecidos pelo Comodo Secure DNS fornecem proteção contra domínios demalwares através de uma lista de bloqueio em tempo real (RBL – Real-time Block List).

Provedor Servidor DNS Primário Servidor DNS Secundário

Google 8.8.8.8 8.8.4.4

Open DNS 208.67.222.222 208.67.220.220

Open DNS Family Shield 208.67.222.123 208.67.220.123

Verisign 64.6.64.6 64.6.65.6

GigaDNS 189.38.95.95 189.38.95.96

Comodo Secure DNS 8.26.56.26 8.20.247.20

Norton Connect Safe A 199.85.126.10 199.85.127.10

Norton Connect Safe B 199.85.126.20 199.85.127.20

Norton Connect Safe C 199.85.126.30 199.85.127.30Tabela de servidores de “DNS” públicos.

2.4 DMZ E REDIRECIONAMENTO DE PORTAS

Em alguns casos específicos é necessário liberar o acesso através da Internet paradeterminados dispositivos como DVRs, Videogames Online, ou até mesmo um servidor que seencontra na rede local. Os acessos externos podem ser liberados através de uma “DMZ” ouredirecionando portas para o endereço IP local do dispositivo a ser acessado remotamente.

Ativar a “DMZ” para liberar acesso remoto total para determinado endereço local na rede“LAN”.

Adicionar porta, endereço IP e protocolo liberados para acesso remoto na rede “LAN”.

Porta, endereço IP e protocolo liberados para acesso remoto na rede “LAN”.

Ative o recurso “UPnP” para liberar dispositivos “plug and play” como Xbox.

2.5 DDNS

Para quem não possui um endereço IP estático é necessário criar uma conta em algumserviço dinâmico de tradução de nomes de domínio para acessar remotamente os recursos da redelocal. Os roteadores do fabricante TP-Link são compatíveis com o serviço grátis (DDNS – DynamicDomain Name System) da No-Ip, basta acessar a endereço web “https://www.noip.com/sign-up” efornecer as informações solicitadas para cadastro no site.

Pagina web de cadastro do site “https://www.noip.com/sign-up”.

Após criar a conta de usuário e definir o nome de domínio disponível, acesse na interface doroteador a opção “DNS dinâmico” e configure o nome de usuário, senha e o nome do domíniocadastrado no site No-Ip, selecione a opção “Ativar DDNS” clique no botão “Login”, para finalizarsalve as configurações em “Salvar”.

Pagina web da interface do roteador para configurações do serviço de “DDNS”.

Nota: Uma das vantagens da linha de roteadores do fabricante D-Link é possuir um serviçode “DDNS” próprio para os seus consumidores. Para utilizar o serviço basta acessar o endereçoweb “https://www.dlinkddns.com/signin/” cadastrar usuário, senha, e-mail, número serial doroteador e endereço “MAC”. Após o cadastro basta configurar o serviço de “DNS” dinâmico doroteador através da interface web.

2.6 FIREWALL

Os roteadores de linha do fabricante TP-Link possuem um firewall “SPI” básico que já vemativado como padrão de fábrica bloqueando todo acesso externo a interface “WAN”.

Firewall básico ativado por padrão no roteador TP-Link.

O firewall (SPI – Stateful Packet Inspection) rastreia o estado das conexões que passamatravés do roteador protegendo a rede interna contra possíveis ataques remotos e também possui ummodo avançado para ativar proteções adicionais de rede com autonomia para bloquear estaçõeslocalizadas na rede local que possam estar infectadas por alguns tipos de malwares. A primeiraproteção é contra ataques de negação de serviço “DoS – Denial of Service”, as opções seguintes sãofiltros utilizados pelo roteador que são configurados através de um limite máximo para limitar otrafego de pacotes “ICMP/UDP/TCP-SYN” contra ataques de inundação destes protocolos e, porfim, ignorar pacotes ICMP de “ping” na interface “WAN”.

Obs. As opções de filtros de inundação “FLOOD” só tem efeito ativando a opção deestatísticas em ferramentas de sistema.

Segurança avançada ativada com filtros contra possíveis ataques “ICMP/UDP/TCP-SYN”.

Opção de estatísticas de pacotes “TCP/UDP/ICMP” do roteador ativada.

2.7 CONTROLE DE LARGURA DE BANDA

Em alguns casos é necessário criar regras para controlar a largura de banda a fim de evitarque um determinado “host” monopolize a banda total disponível na Internet como, por exemplo, um“host” sempre executando algum aplicativo de torrent (uTorrent, BitTorrent) ou aplicativos detransmissão de vídeos (Smart TVs com Netflix), este procedimento garante que a velocidade daconexão de Internet seja melhor distribuída entre os usuários da Internet.

O primeiro passo para criar uma regra com limite de largura de banda é reservar umendereço IP para o “host” a ser controlado e na sequência ativar e definir a velocidade contratada deentrada (Download) e saída (Upload) fornecida pelo provedor de Internet. Após ativar o controle dalargura de banda é só preencher a lista de regras com as informações de endereço IP, faixa de portas,protocolos “TCP” ou “UDP”, os limites de saída e entrada que foram definidos, salvar a regra parafinalizar a configuração de controle de largura de banda e reiniciar o roteador Wi-Fi.

Reserva de endereço para “host” a ser controlado com limite de largura de banda.

Configurações do controle da largura de banda ativado com valores de entrada e saída.

Criar regra com intervalo de endereço IP, portas, protocolos e definir limite de largura de bandade saída e entrada a serem controlados. Obs. As medidas são em kbps (1 Megabit = 1000 kbps).

Lista de regras do controle da largura de banda ativada.

2.8 FERRAMENTAS DE SISTEMA

Os roteadores de linha do fabricante “TP-Link” possuem um conjunto de ferramentas muitoúteis para o gerenciamento básico da rede. Abaixo algumas funções indispensáveis em uma rede.

Atualização de horário automático via servidores NTP pela Internet “ntp.br”.

Ping para testar conectividade de Internet e verificar se há problemas na conexão.

Atualização de “firmware” para manter o sistema sempre seguro e livre de vulnerabilidades.

Backup para fazer cópias de segurança das configurações do roteador.

2.9 ESS (Extended Service Set): conjunto estendido de serviços é um modo de aumentar o alcancee a taxa de transferência de arquivos em uma rede sem fio onde há muitas estações conectadas. Paramelhorar o desempenho da rede sem fio podemos instalar mais alguns roteadores posicionados emlugares estratégicos funcionando como pontos de acesso conectados em um roteador central, destemodo ganhamos um aumento significativo de performance em um ambiente de amplo espaço.

Diagrama de exemplo básico de uma ESS.

ROUTERWI-FI

REDE LAN IP

WIRELESSCONFIGURAÇÃO

WIRELESSSEGURANÇA

SERVIDORDHCP

R-1 IP = 192.168.0.1 SSID = Nome da RedeMODO = bgn mistoL BANDA = 20 MHzCANAL = 1

VERSÃO = WPA2-PSKCRIPTOGRAFIA = AESSENHA = P@ssW0rd

Ativado

R-2 IP = 192.168.0.2 SSID = Nome da RedeMODO = bgn mistoL BANDA = 20 MHzCANAL = 6

VERSÃO = WPA2-PSKCRIPTOGRAFIA = AESSENHA = P@ssW0rd

Desativado

R-3 IP = 192.168.0.3 SSID = Nome da RedeMODO = bgn mistoL BANDA = 20 MHzCANAL = 11

VERSÃO = WPA2-PSKCRIPTOGRAFIA = AESSENHA = P@ssW0rd

Desativado

Tabela de configurações para rede estendida ESS.

Para configurar uma rede sem fio estendida (ESS), siga os passos de configuração básica doroteador dos passos 1 a 3 para acessar o segundo e terceiro roteador Wi-Fi. Não é necessárioconfigurar o passo 4, pule direto para o passo 5 e copie as mesmas configurações de SSID, modo detransmissão e largura de banda e altere somente o canal como demonstrado nas telas logo abaixo.Copie também as mesmas configurações do passo 6 de segurança do primeiro roteador. E repita oprocedimento do passo 7.

Configuração do Canal Roteador Wi-Fi 2.

Configuração do Canal Roteador Wi-Fi 3.

8-Para configurar o segundo e terceiro roteador é necessário alterar os endereços IP para não gerarconflito na rede. Acesse interfaces LAN/WAN e altere o endereço IP conforme a faixa utilizada narede. Exemplo se o roteador principal estiver com o IP 192.168.0.1, o segundo roteador devera serconfigurado com o IP 192.168.0.2 e o terceiro roteador com o IP 192.168.0.3. Também pode se usaroutras variações de IP como 192.168.1.1, 192.168.1.2, 192.168.1.3, mas lembre-se de mantersempre nas mesmas faixas de IP entre os roteadores.

Configuração de endereço IP dos Roteadores Wi-Fi 2 e 3.

9-Antes de conectar os roteadores adicionais também é necessário desabilitar o servidor DHCP deambos, devendo ficar ativo somente no roteador principal. Agora podemos conectar os roteadoresatravés de suas interfaces “LAN” para ativar a rede Wi-Fi estendida. Nota: neste tipo deconfiguração não são utilizadas as interfaces “WAN” dos roteadores adicionais.

Configurações de servidor DHCP desabilitado.

CAPÍTULO 3 – TESTES BÁSICOS DE CONECTIVIDADE NA REDE WI-FI

Agora que a rede Wi-Fi esta configurada vamos realizar alguns testes básicos para avaliar aconectividade da rede sem fio. Até o momento todas as configurações foram feitas através de umPC ou Notebook conectado ao roteador através de um cabo de rede, agora conecte algum Notebookde preferência para podermos nos movimentar para diversos pontos do ambiente de cobertura darede sem fio.

Com o Notebook já conectado a rede Wi-Fi vamos realizar o primeiro teste paraverificarmos se a atribuição de endereços IP feitas pelo servidor de “DHCP” estão corretas. Abra o“Prompt de Comando do Windows” e digite o comando “ipconfig” para obter as configurações doadaptador de rede sem fio instalado no Notebook.

Comando “ipconfig” com informações de configuração do adaptador de rede sem fio.

O próximo teste tem a finalidade de testar a conectividade sem fio entre o Notebook e oRoteador Wi-Fi e medir o “MTU – Maximum Transmission Unit” ideal da rede Wi-Fi, a unidademáxima de transmissão tem o tamanho padrão de 1500 bytes para redes Ethernet, vamos descontaro tamanho de 20 bytes do cabeçalho “IP” e 8 bytes do cabeçalho “ICMP” para obtermos o tamanhode 1472 bytes, digitarmos o comando “ping -f -l 1472 192.168.10.1” para verificarmos se o padrãodo “MTU” esta corretamente configurado no roteador. E na sequência testamos a conectividade naInternet com o comando “ping www.google.com.br”.

Comando “ping -f -l 1472 192.168.10.1” enviando para o roteador com sucesso de resposta,testando a conectividade na rede local sem fio e o tamanho ideal de “MTU” da rede local.

Comando “ping www.google.com.br” para testar a conectividade na Internet.

CAPÍTULO 4 – TESTES DE ALCANCE E INTERFERÊNCIA

Configurar uma rede sem fio aparentemente não é uma tarefa muito difícil para usuáriosintermediários de TI, basicamente é preciso somente dar um nome para rede e atribuir uma senhapara acesso seguro a rede Wi-Fi, as demais configurações em muitos casos bastam ficar no padrãodo equipamento para um funcionamento satisfatório. Mas em outros casos podem ocorrer algunsproblemas como, por exemplo, interferências geradas principalmente em locais com muitas redesWi-Fi próximas umas das outras que podem prejudicar o seu desempenho e ambientes internos commuitas paredes e obstáculos para o sinal do Wi-Fi. A seguir será apresentado uma forma simples decontornar este tipo de problema utilizando um software livre para visualizar informações das redesWi-Fi ao redor como, por exemplo, canais que estão sendo utilizados, tipo de criptografia,endereços MAC e intensidade do sinal. Através desta ferramenta podemos resolver problemas maiscomuns em redes sem fio como veremos a seguir em algumas amostras práticas de seu uso.

Acesse o link https://www.techspot.com/downloads/5936-inssider.html e faça o download daferramenta, instale e execute o inSSIDer em um sistema Windows, clique em networks e seráexibida uma janela semelhante a imagem logo abaixo.

Janela “NETWORKS” do inSSIDer.

Através da interface do inSSIDer temos uma visão geral de todos as redes sem fio próximase suas informações de configurações utilizadas. Com estas informações podemos, por exemplo,verificar a intensidade do sinal e os canais utilizados. Medindo a intensidade de sinal podemoslocalizar os pontos onde a intensidade é baixa e também onde a intensidade é satisfatória parainstalar um repetidor para melhorar o sinal, outra informação muito importante que obtemos são oscanais utilizados onde podemos alterar os canais quando estão sobrepostos pra evitar interferências.

A intensidade do sinal é medida por números negativos, o que significa que quanto menor onúmero maior é a intensidade do sinal, por exemplo observando a imagem acima podemos concluirque a rede SR com -25 tem um sinal mais forte que a rede BILLY com -91. Podemos concluirtambém que a rede SR esta utilizando a tecnologia MIMO pois esta utilizando dois canaissimultâneos 1+5 e que rede TANIA que esta próxima, também está utilizando os mesmos canais1+5, conhecendo os canais das redes mais próximas podemos decidir mudar o canal da nossa redesem fio para algum canal diferente entre 1 a 11, quanto mais distante do canal sobreposto melhor.

Pode ser observado na imagem anterior que a intensidade do sinal da rede wireless SR semnenhum obstáculo era -25, agora observaremos na sequência de imagens que foram capturadas atrásde obstáculos comuns em uma residência como paredes e espelhos qual a perda de sinal na prática.

Medição feita atrás de uma parede de tijolos comuns com cerâmica a 2 metros de distância.

Medição feita atrás de duas paredes de tijolos comuns a 3 metros de distância.

Medição feita atrás de três paredes de tijolos comuns a 6 metros de distância.

Medição feita atrás de quatro paredes de tijolos comuns com 7 metros de distância.

Medição feita atrás de um espelho a 1 metro de distância.

CAPÍTULO 5 – OUTRAS POSSÍVEIS FONTES DE INTERFERÊNCIA EM REDES WI-FI

O meio utilizado para propagar o sinal Wi-Fi é o ar através de ondas de rádio que viajam novácuo em linha reta em diversas direções e os principais problemas que podem vir a ocorrer em suatransmissão são as perdas de sinais devido a perda de intensidade em relação a distância e os efeitosprovocados pelas barreiras em seu caminho como absorção, reflexão, refração e difração.

• Absorção: é um efeito que absorve a energia da onda ao atingir um obstáculo causandoatenuação do sinal Wi-Fi e reduzindo sua potência.

• Reflexão: é um efeito de inversão na onda que pode ser parcial ou completa devido algunstipos de superfícies e podem causar degradação do sinal Wi-Fi.

• Refração: é um efeito de desvio na onda causado por alguns tipos de superfície interferindona propagação do sinal do Wi-Fi.

• Difração: é um efeito onde a onda contorna um determinado obstáculo ou atravessa umapassagem estreita como uma fenda.

Além das interferências de outras redes Wi-Fi próximas e obstáculos em ambientes internosvamos relacionar outras fontes comuns de interferências e mal posicionamento de roteadores quepodem prejudicar o sinal Wi-Fi e o desempenho de uma rede sem fio.

• Mal posicionamento do roteador: lugares muito baixos e extremidades do ambiente deinstalação, o roteador deve ficar o mais alto possível e preferencialmente em uma áreacentral do ambiente para melhor cobertura do sinal Wi-Fi.

• Posicionamento das antenas: as antenas devem sempre estar na posição vertical.• Micro-ondas: muito próximos ou no caminho do roteador.• Telefones sem fio: alguns telefones sem fio operam na mesma frequência dos roteadores 2.4

ou 5 GHz e podem criar interferências ao atender uma ligação.• Monitores de LCD: alguns monitores de podem interferir na frequência 2.4 Ghz

principalmente nos canais 11 e 14.• Armários de metal: o metal pode agir como um escudo bloqueando o sinal Wi-Fi.• Espelhos: ambientes com muitos espelhos absorvem as ondas de rádio enfraquecendo os

sinais Wi-Fi.• Aquários e Bebedouros de Água: grandes concentrações de água refletem o sinal Wi-Fi

causando perdas de sinal.

Tipos de Barreiras Nível de Interferência

Madeira Baixo

Gesso Baixo

Material Sintético Baixo

Vidro Comum Baixo

Tijolos Médio

Mármore Médio

Vidro Blindado Alto

Concreto Alto

Cerâmica AltoTabela com os tipos mais comuns de barreiras que interferem no sinal Wi-Fi.

CAPÍTULO 6 – REPETIDOR WI-FI

Para aumentar o alcance do sinal Wi-Fi e resolvermos alguns dos problemas citadosanteriormente podemos instalar um repetidor em um ponto onde a intensidade do sinal ainda é forteno ambiente da rede “WLAN” e repetir o sinal para os locais onde o sinal esta perdendo suaintensidade e causando problemas na rede sem fio. É recomendado se possível utilizar repetidoresdo mesmo fabricante do roteador para evitar possíveis incompatibilidades.

Para configurar um repetidor do fabricante TP-Link conecte um cabo de rede na interface“LAN” localizado na parte inferior do equipamento e acesse o endereço IP “192.168.0.254” atravésde um navegador de sua preferência para visualizar a interface web de configuração e siga os passosindicados nas capturas de tela logo abaixo.

1-Clique em configuração rápida e aguarde a busca por redes Wi-Fi ser finalizada.

2-Selecione a rede Wi-Fi a ser estendida, digite a senha de acesso e clique em avançar.

3-Altere ou use o mesmo “SSID” da rede Wi-Fi selecionada e clique em avançar.

4-Confira as configurações e salve, aguarde a reinicialização de repetidor para finalizar.

7 – TESTES DE DESEMPENHO DE REDE SEM FIO COM IPERF

Após a implantação da rede Wi-Fi veremos como testar a taxa de transferência real da“WLAN” através da ferramenta livre de medição ativa de largura de banda máxima iPerf3 que podeser baixado através do link “https://iperf.fr/iperf-download.php”.

O “iperf” é uma ferramenta de código aberto que permite medir a taxa de transferência e alargura de banda de uma rede de computadores através de pacotes “TCP’ ou “UDP”, a ferramentagera trafego de dados em modo cliente/servidor, onde um “host” executando o processo cliente geraum trafego de 10 segundos entre um “host” executando um processo servidor obtendo a velocidadede transferência e quantidade dados transmitida, através dos resultados obtidos podemos verificar odesempenho de uma rede.

Depois de baixado a ferramenta descompacte-a para o disco local “C:\” e acesse o diretóriocriado através do “prompt”, execute a ferramenta em algum PC de preferência conectado a rede“LAN” do roteador através de um cabo de rede, execute a ferramenta no modo servidor com ocomando “iperf3.exe -s”.

Em algum notebook conectado a rede WLAN Wi-Fi baixe novamente ou copie a ferramentano disco local C:\ execute a ferramenta no modo cliente seguido do endereço IP do PC executandocomo servidor com o comando “iperf.exe -c 192.168.10.103”.

Teste de taxa de transferência utilizando modo 802.11g.

O primeiro teste foi feito com a seguinte configuração de rede sem fio: modo 802.11g comtaxa máxima teórica de transferência de 54 Megabits por segundo utilizando apenas um canal detransmissão “Channel 1”. Através do iperf obtemos a taxa media real de velocidade de transferênciaentre um netbook e uma estação de trabalho com uma distância aproximada de 3 metros. O valorreal foi de 18.4 Megabits por segundo conforme mostrado na imagem logo acima.

Teste de taxa de transferência utilizando modo 802.11n com MIMO.

O segundo teste foi feito com a seguinte configuração de rede sem fio: modo 802.11n comtaxa máxima teórica de transferência de 300 Megabits por segundo utilizando dois canaissimultâneos de transmissão “Channel 1+5”. Através da medição do iperf obtemos a taxa media realde velocidade de transferência entre um netbook e uma estação de trabalho com uma distânciaaproximada de 3 metros. O valor real foi de 51.8 Megabits por segundo conforme mostrado naimagem logo acima.

Teste de taxa de transferência utilizando modo 802.11n com MIMO.

Para finalizar a experiência segue logo acima a captura de tela com a melhor medição obtidaatravés do iperf da taxa de transferência real entre um Netbook Acer Aspire One 532h utilizandouma interface wireless do fabricante Atheros modelo AR5B95 de 150 Mbps e um rotador wirelessTP-Link N 300 Mbps.

Podemos concluir através da captura que a taxa média real de transferência foi de 74.4 Mbpsutilizando o modo 802.11n com dois canais simultâneos “Channel 1+5” e sinal -28 de intensidade.

Obs. A medição foi efetuada sem nenhum obstáculo entre os hosts.

Para testar a taxa de transferência na Internet podemos utilizar diversos serviços de mediçãoonline que são oferecidos gratuitamente na Internet. Para obtermos uma medição confiável devemospara todos os downloads e se possível utilizar apenas um “host” conectado ao roteador e depreferência através de um cabo de rede. Logo abaixo segue alguns resultados obtidos através do“nperf.com” em uma rede de fibra óptica de 8 Megabits, o teste mede a latência ou tempo deresposta, a taxa de Download e taxa de Upload da conexão.

Serviço online de teste de velocidade na Internet fornecido pelo nPerf.

Medidas obtidas de uma conexão de fibra óptica de 8 Megabits de Download, 4 Megabits de Upload com tempo de resposta de 34.46 ms.

Medida obtida através de um teste mais simples fornecido pelo Netflix “fast.com” obtendo apenas a velocidade de Download da conexão do teste anterior.

Velocidade de transferência máxima das interfaces “LAN” e “WAN” dos roteadores TP-Linkfornecida através do link http://www.tp-link.com.br/faq-465.html.

Velocidade de transferência máxima da interface “LAN” obtido através do iperf na rede local.

CAPÍTULO 8 – TESTES BÁSICOS DE SEGURANÇA E VULNERABILIDADES DE ROTEADORES

Atualmente a Internet se tornou um local inseguro pois com sua politica em ser uma redepública, livre e aberta para todos além de garantir certa privacidade para seus usuários também setornou de certa forma um lugar hostil pois enfrentamos todos os dias uma avalanche de e-mailsfalsos de “phishing” com links para sites que infestam a Internet de códigos maliciosos, cavalos detroia que roubam dados pessoais e outros que até podem abrir caminhos de acesso remoto aos PCsdesprotegidos que se encontram conectados na rede mundial de computadores criando uma redezumbi conhecida como Botnet e a mais nova ameaça conhecida como “ransonware” que criptografaos dados do usuário e só libera a chave de acesso através de pagamento online com moeda digital.

Outro risco cotidiano que os usuários de Internet precisam enfrentar são os possíveis ataquesfeitos por indivíduos mal-intencionados conhecidos como “crackers” que sempre investem contraredes desprotegidas com varreduras de portas com a finalidade de encontrar vulnerabilidades a quepossam ser exploradas, ataques de força bruta com a finalidade de descobrir senhas de acesso aroteadores e servidores expostos na Internet e alguns casos podem até prejudicar o desempenho ouaté mesmo impedir o acesso aos recursos de Internet através de uma ataque conhecido comonegação de serviço (DoS – Denial of Service).

Para uma melhor conscientização sobre segurança na Internet é aconselhável ler a Cartilhade Segurança para Internet “http://cartilha.cert.br” produzida e distribuída gratuitamente pelo“CERT.br” Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil e pelo“NIC.br” Núcleo de Informação e Coordenação do Ponto BR.

Neste cenário sombrio em que se encontra a Internet atualmente é necessário nospreocuparmos seriamente com a segurança da informação e protegermos o perímetro de nossasredes locais de computadores contra possíveis ataques externos, neste guia básico de configuraçãode redes domésticas, pequenas empresas e escritórios, já vimos como verificar se o “firewall”básico do roteador esta ativado, como ativar a segurança avançada do “firewall” contra possíveisataques de negação de serviço e também como utilizarmos servidores de “DNS” seguros parabloquear sites suspeitos ou infectados com “malwares”.

Para executarmos alguns testes básicos de vulnerabilidades em roteadores e garantir oprimeiro nível de proteção na rede local “LAN” podemos acessar o site da Gibson ResearchCorporation “https://www.grc.com/default.htm”, que fornece gratuitamente diversos testes desegurança online como varredura de portas, teste de exposição UPnP e outros que veremos nascapturas de tela logo abaixo.

Para acessar a área de testes de vulnerabilidades do “GRC” clique em “Services/ShieldsUP!”, napróxima página de boas vindas “Welcome” clique no botão “Proceed”.

Área de testes de vulnerabilidades do “GRC” ShieldsUP com os serviços disponíveis para testar compartilhamento de arquivos, portas comuns, todas as portas de serviços e outros.

Para executar o primeiro teste clique no botão “GRC’s Instant UPnP Exposure Test” paraverificar se há exposição do protocolo (SSDP – Simple Service Discovery Protocol) que éutilizado para anunciar e descobrir serviços de rede automaticamente por roteadores em redeslocais, esta função é (UPnP – Universal Plug and Play) e nunca deve estar exposta na redeexterna “WAN” (Internet). Se receber a mensagem igual à da captura acima “NOT RESPOND”o roteador passou no teste pois não respondeu a sondagem “UPnP”.

Para executar outro teste clique na opção “Common Ports” que faz uma varredura nas 26 portasmais comuns de serviços de rede. Se receber a mensagem igual à da captura acima “PASSED”significa que o roteador ignora completamente os pacotes e não responde a mensagens de“ICMP” eco “ping” em sua interface “WAN”.

Se o roteador estiver com portas abertas para acesso externo e respondendo a mensagens de“ICMP” eco “ping” a mensagem recebida será “FAILED” como da captura de tela acima. Nestecaso é necessário revisar as configurações do roteador para resolver o problema.OBS. Em alguns casos específicos algumas portas como 21 FTP, 22 SSH, 25 SMTP, 80 HTTP,110 POP3, 443 HTTPS podem estar abertas em uma “DMZ” na rede local.

Clique na opção “All Service Ports” para verificar se existe alguma porta bem conhecida abertapara acesso externo. Na captura de tela acima o resultado foi ótimo pois das 1055 portas testadasnenhuma estava exposta na Internet.

Para verificar se as portas de compartilhamento de arquivos em redes “NetBIOS/MS-DS”utilizados em sistemas Windows estão expostas a rede externa clique na opção “File Sharing”, sehouver algum resultado como a captura acima, revise urgente as configurações do roteador.

Para verificar se uma porta especifica esta aberta digite o número na área central das opções de teste e clique em “User Specified Custom Port Probe”.

CAPÍTULO 9 – SENHAS DE ACESSO

As senhas utilizadas para proteger nossos recursos que se encontram acessíveis na Internetou em nossa rede local devem ser muito bem elaboradas e devem ser compostas mesclando letrasmaiúsculas, minúsculas, números e caracteres especiais, contendo no mínimo 12 caracteres ou maisde comprimento, este procedimento é muito importante para evitar a quebra de senhas via softwaresque testam diversas palavras por segundo utilizando dicionários ou de força bruta que testamdiversas combinações de caracteres possíveis.

Para ajudar a definição de senhas seguras podemos utilizar o serviço gratuito “PasswordHaystacks” do “https://www.grc.com” para testar a qualidade da composição de uma determinadasenha e verificar o tempo que seria necessário para que algum indivíduo mal-intencionado levariapara descobrir através de uma ferramenta “hacker” de ataque de força bruta que utiliza a técnica quetesta exaustivamente várias senhas ou chaves até encontrar a correta e obter acesso ao recurso ouequipamento alvo. Para acessar o serviço com a calculadora interativa de força bruta fornecida pelo“Gibson Research Corporation” siga os passos abaixo.

1-Acesse o link “https://www.grc.com” e selecione o serviço “Passwords Haystacks”.

Figura 9-1 Opção do serviço “Password Haystacks” no site da “Gibson Research Corporation”

2-Digite a senha elaborada no campo e observe o resultado da calculadora de força bruta. No casoda senha digitada logo abaixo podemos observar que a senha foi composta de 1 letra maiúscula, 8letras minúsculas, 3 números “dígitos”, 2 caracteres especiais “símbolos” e com o comprimentototal de 14 caracteres.

Figura 9-2 Campo para digitação da senha elaborada.

3-Observe o resultado com o tempo necessário para procurar exaustivamente o espaço da senha quefoi definida anteriormente. Podemos observar três possíveis cenários de ataques: Ataque Onlinecom mil tentativas por segundo que levaria aproximadamente 1.57 trilhões de seculos, AtaqueRápido Offline com cem bilhões de tentativas por segundo que levaria aproximadamente 15.67milhões de seculos e Ataque de Quebra de Senha Maciço com cem trilhões de tentativas porsegundo que levaria aproximadamente 15.67 mil seculos.

Figura 9-3 Resultado de tempo necessário para quebra da senha digitada para teste.Nota: Teste diversas senhas possíveis com combinações bem elaboradas para obter um bom nívelde segurança como resultado.

A senha de acesso da rede sem fio é a mais provável de ser atacada pois o “SSID” ficaexposto para qualquer um ao alcance do sinal Wi-Fi e portando basta paciência e disposição doindivíduo mal-intencionado tentar invadir a rede “WLAN”.

Para proteger a rede “WLAN” contra uma possível invasão é necessário elaborar uma boasenha com no mínimo 8 caracteres, aqui vale a mesma regra de quanto maior e melhor elaboradacom letras maiúsculas, minúsculas, números e caracteres especiais mais difícil se torna a quebra dasenha, mas se queremos criar uma senha robusta a praticamente impossível de descobrir podemosacessar o serviço gerador de senhas perfeitas fornecido pelo “Gibson Research Corporation”.

Para utilizar senhas de segurança no WPA2-PSK você pode inserir entre 8 e 63 caracteresASCII e entre 8 e 64 caracteres hexadecimais.

1-Acesse o link “https://www.grc.com” e selecione o serviço “Perfect Passwords”.

Figura 9-4 Opção do serviço “Perfect Passwords” no site da “Gibson Research Corporation”

2-Na página do gerador de senhas perfeitas são disponibilizadas três tipos de senha aleatórias:hexadecimais de 64 caracteres, ASCII de 63 caracteres e alfanumérico de 63 caracteres, copie umadas senhas geradas e salve em arquivo de texto em um lugar seguro.

Figura 9-5 Senhas aleatórias geradas pelo serviço “Perfect Passwords” no site da “GibsonResearch Corporation”.

3-Acesse a interface de configuração web do roteador e selecione a opção de segurança do “wireless WPA2-PSK /AES” e insira a senha gerada pelo serviço “Perfect Passwords”.

Figura 9-6 Opção de segurança do wireless da interface de configuração web do roteador Wi-FiTP-Link TL-WR841N.

Nota: As senhas geradas pelo serviço gerador de senhas perfeitas do site “Gibson ResearchCorporation” são consideradas altamente seguras pois a cada acesso feito na página, outras novassenhas são geradas aleatoriamente totalmente sem um padrão definido e só podem ser exibidasatravés de uma conexão “SSL” a prova de falsificação.

ANEXO A – MODELO OSI E PILHA DE PROTOCOLOS TCP/IP

Toda a estrutura da Internet atual é baseada em dois modelos que definem uma organizaçãoem forma de camadas com instruções para a comunicação e o estabelecimento de conexões emredes locais e na Internet.

O modelo de referência (OSI – Open System Interconnection) foi definido no ano de 1971pela “ISO” para padronizar os protocolos de comunicação entre os diversos fabricantes deequipamentos e desenvolvedores de sistemas de rede garantindo a interoperabilidade entre dois oumais recursos de redes de computadores independente da tecnologia utilizada.

Camada Protocolos Função Básica

7-Aplicação HTTP, HTTPS, FTP, SNMP, POP3,DNS

Aplicativos e serviços para usuários finais como navegadores, e-mail, downloads etc.

6-Apresentação ASCII, TLS, SSL Formatação da informação e criptografia

5-Sessão NetBIOS, RPC Gerenciar a comunicação fim a fim.

4-Transporte TCP, UDP Transferir e controlar fluxos de dados.

3-Rede IPv4,IPv6,ICMP,ARP Endereçamento lógico da rede e roteamento.

2-Enlace Ethernet, MAC Endereçamento físico da rede local.

1-Física Wi-Fi, Cat5, DSL Transmitir bits através de meio físico.

Tabela de camadas, protocolos e funções do modelo de referência “OSI”.

O modelo conhecido como pilha de protocolos TCP/IP foi criado pelo Departamento deDefesa dos EUA para seu projeto de redes de comunicação conhecido por ARPANET (AdvancedResearch Project Agency Network) em 1969. De 1990 até hoje é o padrão utilizado na Internet.

Camada Protocolos Função PDU

4-Aplicação HTTP, HTTPS, FTP, POP3, SMTP, DNS, SSH, TLS, SSL

Conexão fim a fim. Ex: Navegador/Servidor WEB.

Dados

3-Transporte TCP, UDP Conexão processo a processo.Ex: processo cliente/servidor.

Segmento/Datagrama

2-Internet IPv4, IPv6, ICMP, IGMP, ARP Conexão origem e destino.Ex: IP Origem/IP Destino.

Pacotes

1-Acesso a Rede Ethernet, MAC, LLC, 100baseTX, Wi-Fi

Conexão nó a nó.Ex: host/router.

Quadros/bits

Tabela de camadas, protocolos e funções do modelo de referência “TCP/IP”.

Diagrama de comparação dos modelos de referência “OSI” e “TCP/IP”.

ANEXO B – ENDEREÇAMENTO IPv4

Para podermos acessar os serviços de Internet é necessário um enderenço IPv4 publicoexclusivo para cada roteador, esse endereço IPv4 é fornecido pelo provedor de Internet. O endereçoIPv4 é representado em notação decimal e separado por pontos em 4 grupos que começam nonúmero 0 e terminam em 255 (0.0.0.0/255.255.255.255).

Os roteadores utilizam um sistema de tradução de endereços de rede (NAT – NetworkAddress Translator) para criar uma tabela dos endereços IPv4 privados utilizados por “hosts”conectados a rede local “LAN” e compartilhar um único endereço IPv4 publico conectado a umarede externa “WAN” e, por fim, acessar os serviços da Internet.

Diagrama de funcionamento de tradução de endereços de rede “NAT”.

Logo abaixo segue uma tabela com os endereços IPv4 privados, especiais e reservados quenão podem ser roteados através da Internet, os demais endereços que não fazem parte desta tabelasão considerados públicos e roteáveis na Internet, são atribuídos aos provedores de Internet pela“IANA” Autoridade de Atribuição de Números de Internet https://www.iana.org/.

Tipo Início do Endereço IPv4 Fim do Endereço IPv4

This Host 0.0.0.0

LAN Classe A 10.0.0.0 10.255.255.255

Local Host “loopback” 127.0.0.0 127.255.255.255

Link Local “APIPA” 169.254.0.0 169.254.254.255

LAN Classe B 172.16.0.0 172.31.255.255

LAN Classe C 192.168.0.0 192.168.255.255

Multicast Classe D 224.0.0.0 239.255.255.255

Reservado Classe E 240.0.0.0 254.255.255.255

Broadcast 255.255.255.255Tabela de endereços privados, especiais e reservados atribuídos pela “IANA”.

ANEXO C – PORTAS DE SERVIÇOS TCP/UDP BEM CONHECIDAS

Portas bem conhecidas Portas registradas Portas dinâmicas

0 a 1.023 1.024 a 49.151 49.152 a 65.535

(Aplicações padronizadas controladas e atribuídas pela ICANN/IANA)

(Portas registradas por empresas de TI junto ao ICANN/IANA)

(Portas reservadas para uso temporário ou privado)

Número de Porta

Protocolo de Transporte

Protocolo de Aplicação

20 TCP FTP dados

21 TCP FTP controle

22 TCP/UDP SSH

23 TCP/UDP TELNET (Terminal Network)

25 TCP SMTP

53 UDP DNS

67 UDP DHCP/BOOTP servidor

68 UDP DHCP/BOOTP cliente

69 UDP TFTP

80 TCP HTTP

110 TCP POP3

123 UDP NTP

137 TCP/UDP NetBIOS serviço de nomes

138 TCP/UDP NetBIOS serviço de datagrama

139 TCP/UDP NetBIOS serviço de sessão

143 TCP IMAP4

161 TCP/UDP SNMP

179 TCP BGP

194 TCP IRC

389 TCP LDAP

443 TCP HTTPS

445 TCP/UDP SMB/CIFS

530 TCP/UDP RPC

554 TCP/UDP RTSP

587 TCP SMTP (RFC 2476)

989 TCP FTP SSL/TLS dados

990 TCP FTP SSL/TLS controle

993 TCP IMAP4 over SSL

995 TCP POP3 over SSL

ANEXO D – PORTAS DE SERVIÇOS REGISTRADAS PELA ICANN/IANA

Número de Porta

Protocolo de Transporte

Protocolo de Aplicação

1194 UDP Open VPN

1241 TCP/UDP Nessus Security Scanner

1433 TCP Microsoft SQL

1723 TCP/UDP Microsoft PPTP VPN

1900 UDP Microsoft SSDP UnPnP

2049 UDP NFS Server

3000 TCP NtopNG

3128 TCP Squid Proxy

3129 TCP Squid Proxy SSL/TLS

3306 TCP/UDP MySQL

3389 TCP RDP Terminal Server Microsoft

5353 UDP mDNS multicast

5432 TCP Postgre SQL

5900 TCP VNC

10050 TCP/UDP Zabbix-Agent

10051 TCP/UDP Zabbix-Server

11371 TCP/UDP Open PGP HTTP Keyserver

Nota: As portas “TCP/UDP” de número 49.152 a 65.535 são dinâmicas ou aleatórias egeralmente são utilizadas por navegadores de Internet (Internet Explorer, Google Chrome, MozillaFirefox, Opera, Apple Safari, etc) como portas de origem de “hosts” clientes para conexões nasportas destino de número 80 HTTP e 443 HTTPS de servidores Web.

ANEXO E – PADRÕES DE SEQUENCIAS DE FIOS PARA CONECTORES RJ-45

Em alguns casos será necessário crimpar um conector RJ-45 a um cabo de rede Cat5e,segue abaixo uma figura apresentando os dois padrões Ethernet utilizados em redes “LAN”. Nota: Acesse o link “http://www.hardware.com.br/livros/redes/crimpando-cabos.html” parainstruções detalhadas para crimpagem de cabos de redes locais.

Padrões de sequência de fios T-568A e T-568B para conectores RJ-45 em cabos de rede.

FONTES DE PESQUISA E SUPORTE UTILIZADAS NA ELABORAÇÃO DESTE GUIA BÁSICO:

http://www.tp-link.com.br/support.htmlhttps://www.dlink.com.br/suporte-dlinkhttp://www.hardware.com.br/livros/redes/capitulo-redes-wireless.htmlhttp://www.teleco.com.br/tutoriais/tutorialwifimanaus1/pagina_3.asphttps://www.verisign.com/pt_BR/security-services/public-dns/index.xhtmlhttps://www.opendns.com/https://www.opendns.com/home-internet-security/https://connectsafe.norton.com/https://www.comodo.com/secure-dns/https://www.gigadns.com.br/https://www.noip.com/https://www.dlink.com.br/sites/default/files/product_download/configuracao_dlinkddns.pdfhttp://www.gestortecnico.net/2017/07/pra-que-serve-o-firewall-spi-no-roteador.htmlhttps://ntp.br/https://www.techspot.com/downloads/5936-inssider.htmlhttps://iperf.fr/https://www.nperf.com/pt/https://fast.com/pthttps://cartilha.cert.br/https://www.grc.com/intro.htmftp://ftp.registro.br/pub/gts/gts0204/gts0204-09slides-minitutwireless.pdfhttps://www.icann.org/https://www.iana.org/