Ocultar o nome da rede Wi-Fi, o Service Set Identifier (SSID), não oferece a proteção que podia pensar. Então, porque é que ocultar o nome da rede Wi-Fi não garante a sua segurança e que medidas deve tomar para proteger a sua rede?
Já alguma vez procurou uma rede Wi-Fi e deparou-se com aquelas redes “ocultas” na sua lista de ligações disponíveis? É provável que tenha reparado que essas redes não são totalmente invisíveis, apesar de os seus nomes estarem ocultos.
Ocultar o SSID (Service Set Identifier) da sua rede Wi-Fi implica configurar o router para deixar de transmitir o nome da rede. Esta funcionalidade é comum na maioria dos routers com Wi-Fi e no ponto de acesso Wi-Fi do seu smartphone.
Na realidade, ocultar o SSID é ineficaz contra ferramentas de hacking, como sniffers e analisadores de rede. Estas ferramentas detectam e exploram facilmente redes ocultas, interceptando pacotes de dados que são transmitidos mesmo quando o SSID está escondido.
Um SSID oculto também pode aumentar o nível de ruído – o nível básico de interferência num ambiente sem fios. O efeito em grandes escritórios ou edifícios de apartamentos é ainda pior e degrada o desempenho da rede.
Além disso, a ocultação do SSID causa incompatibilidade com alguns dispositivos mais antigos e da Internet das coisas.
Tendo em conta estas deficiências, é evidente que ocultar o SSID não é a solução de segurança que muitas vezes se pensa ser. Então, como é que se pode realmente proteger a rede Wi-Fi?
Alterar a palavra-passe e o SSID predefinidos
O seu router vem muitas vezes com uma palavra-passe pré-programada (normalmente pode encontrá-la impressa na parte inferior do dispositivo). Normalmente, a palavra-passe é uma série de até 10 números. Em primeiro lugar, deve utilizar uma ferramenta de criação de palavras-passe para criar uma palavra-passe mais complexa.
Utilize uma combinação de letras maiúsculas e minúsculas, números e símbolos. Enquanto estiver a fazer isso, a alteração do próprio SSID também é recomendada e permite-lhe criar algo criativo. Lembre-se de não utilizar qualquer nome que possa identificar a localização física do seu router.
Atualizar a encriptação Wi-Fi
A encriptação Wi-Fi codifica eficazmente os seus dados para que não possam ser lidos por mais ninguém. Os protocolos de encriptação Wi-Fi mais antigos, como o WEP e o WPA, podem ser facilmente decifrados com ferramentas de pirataria informática, e mesmo o protocolo WPA2, mais utilizado, tem vulnerabilidades.
Os routers modernos têm encriptação WPA3, mas o WPA2 é geralmente selecionado por predefinição por motivos de compatibilidade. No entanto, se o seu router o suportar, deve utilizar a encriptação WPA3. Se tiver problemas com dispositivos mais antigos que não consigam estabelecer ligação, pode normalmente selecionar uma combinação de WPA2/WPA3.
Atualizar o firmware do router
Tal como o seu smartphone e o seu computador, os dispositivos de rede têm de ser objeto de correções e actualizações de segurança regulares. As actualizações do firmware do router Wi-Fi encontram-se geralmente nas definições do sistema do router e requerem a reinicialização do dispositivo após a instalação.
Negligenciar estas actualizações deixa o seu hardware de rede vulnerável a quaisquer ameaças descobertas desde o fabrico do dispositivo.
Monitorização da rede e detecção de intrusões
Perceber que alguém novo está a viver em sua casa é bastante óbvio. Conhece os seus amigos e familiares e consegue detetar um estranho. Manter um olho em quem e o que está a utilizar a sua rede Wi-Fi é um pouco mais complicado, mas igualmente importante.
Pode utilizar uma aplicação para smartphone para verificar se a sua rede é segura, analisar a rede a que está ligado e converter o endereço físico dos dispositivos (endereço MAC) em nomes amigáveis, para que sejam fáceis de reconhecer.
Segmentação da rede
A separação da rede doméstica em segmentos, por vezes conhecida como “sub-rede”, é uma excelente forma de manter as informações sensíveis afastadas dos dispositivos já ligados à rede Wi-Fi.
Cada segmento tem geralmente regras de controlo de acesso, o que significa que determinados dispositivos de um segmento não podem comunicar com dispositivos de outro segmento.
Um exemplo é ter os seus dispositivos domésticos inteligentes numa sub-rede para que não possam aceder a informações noutro dispositivo, como um servidor de armazenamento doméstico ou um NAS. Outra implementação comum é o portal cativo, ou rede Wi-Fi para convidados, que geralmente não requer autenticação por palavra-passe, mas está separada da rede principal.
Desativar o WPS
O WPS é a primeira coisa que devemos desativar. É um protocolo altamente vulnerável, mesmo em routers recentes e com firmware atualizado.
Ataques como o PixieDust são altamente eficazes, mesmo sem necessidade de pressionar o botão. A título de exemplo os routers mais antigos da NOS, uma grande variedade de TP-Link, routers da NOWO mais antigos e outras marcas com o WPS activos, são extremamente vulneráveis.
Curiosamente os routers da MEO e Vodafone (Technicolor, Huawei, AlticeLabs) são menos vulneráveis.
Os routers mais recentes da NOS e da NOWO têm-se mostrado menos vulneráveis (felizmente).
Assustadoramente, muitos TP-Link são vulneráveis, mesmo com firmware actualizado e até em modelos extremamente recentes.
Uma boa prática é realmente desligar o WPS e ir monitorizando a rede com frequência para verificar a eventual existência de “clientes” que não deveriam estar na rede.
Tudo isto de facto protege-o e é muito mais eficaz do que ocultar o nome da sua rede Wi-Fi.
