21 maneiras de

otimizar sua rede

corporativa

Compartilhe este guia:

1
 ndice
Mude a senha padro do roteador. 4
5 Use uma senha complexa.

Garanta a segurana da WLAN. 6

7 Crie uma poltica de segurana Wireless.

Proteja sua companhia de ameaas externas. 9

10 Proteja sua rede cabeada de ameaas wireless.

Mude o nome ou SSID padro da rede. 11

12 Desabilite o acesso administrativo pela rede wireless.

Crie uma rede de convidados. 13

14 Crie uma lista de dispositivos.

Mantenha seu Firmware atualizado. 15

16 Use configuraes de Firewall.

Envolva os colaboradores. 18
19 Faa uma auditoria e um mapeamento.

Mantenha a rede atualizada. 21

22 Garanta a segurana fsica da rede.

Considere um filtro de endereamento MAC. 24

25 Implementar VLANs para separar o trfego.

Use 802.1X para autenticao. 26

28 Use VPNs para criptografar apenas PCs
e servidores selecionados.
Criptografe a rede por inteira. 29
Compartilhe este guia:
2
Uma rede wireless pode ajudar os colaboradores
da empresa a se manterem produtivos, medida
que a mobilidade deles dentro da sua empresa
aumenta. Mas para tirar vantagem dos benefcios
da rede sem fio, necessrio que o CIO esteja
seguro que a rede esteja protegida de hackers e
usurios no autorizados.

Todo dispositivo conectado uma rede sem fio

importante para a segurana. Devido ao fato da
WLAN ser uma rede mvel, o CIO precisa de uma
abordagem minuciosa e de multicamadas para
proteger o trfego de dados.

Pensando nisso, criamos este guia que o auxiliar

a reduzir os riscos da rede sem fio corporativa.

Compartilhe este guia:

3
 Mude a senha padro
1 do roteador
Parece uma dica muito bsica, mas falar dela aqui necessrio, pois
muitos CIOs se esquecem dessa primeiro passo importante. Assim que
configurar o roteador corporativo, mude a senha padro. Esse passo
essencial, dado que as senhas padres para todos os equipamentos de
um mesmo fornecedor so conhecidos e divulgados na Internet, o que
facilitaria um acesso rede por hackers.

Compartilhe este guia:

4
Use uma senha
complexa
2
Use uma senha complexa

Apesar de no existerem falhas conhecidas no protocolo de segurana

WPA2, ele suscetvel a ataques forados quando usado com uma senha
de acesso muito fcil de se adivinhar. Isso porque existem softwares
especializados que capturam pacotes de dados wireless e cruzam essas
informaes encontrando as senhas.

Para evitar esses ataques, use uma senha que contenha no mnimo 25
caracteres, incluindo uma mistura de letras (com caixa alta e baixa),
nmeros e smbolos.

Compartilhe este guia:

5
Use uma senha
Garanta a segurana
complexa
3 da WLAN

Proteger uma WLAN no difcil. Uma boa ideia utilizar uma estratgia
de rede de auto-defesa para proteger sua WLAN:

Comunicaes seguras: criptografe os dados que viajam na rede e autentique

usurios para garantir que voc saiba quem est usando a WLAN.

Use criptografia forte: assim que o CIO instalar a rede corporativa, configure
a criptografia mais forte possvel para wireless. A criptografia WEP adequada,
mas a WPA e WPA2 so opes ainda mais fortes.

Use VLANs ou listas de controle de endereos MAC combinados com criptografia

para restringir o acesso dos usurios: utilizando alguns recursos de acesso seguro
de convidados para permitir que visitantes se conectem com a rede ou Internet
uma boa opo para manter os recursos e a rede corporativa separados e
seguros.

Compartilhe este guia:

6
Use uma senha
Crie uma poltica de
complexa
4 segurana Wireless
Para proteger uma rede com fio, a maioria das empresas comea a
desenvolver uma poltica de segurana por escrito. Essa poltica especifica
quem pode utilizar a rede e como. Tambm possvel que utilizar a
mesma abordagem para proteger a rede corporativa sem fio.

Existem vrios templates prontos para mostrar o que uma poltica de

segurana deve cobrir. Abaixo, apresentamos um exemplo do que uma
poltica de segurana tpica deve incluir:

Poltica de uso aceitvel, para especificar que tipos de atividades de rede so

permitidas e quais so proibidas;

Atividades de E-mail e comunicao, para ajudar a minimizar os problemas de

e-mails e anexos;

Compartilhe este guia:

7
 Poltica de antivrus, para ajudar a proteger a rede contra ameaas
como vrus, worms e cavalos de Tria;

Poltica de identidade, para ajudar a proteger a rede de usurios no

autorizados;

Poltica de senhas, para ajudar os colaboradores a escolher senhas

fortes e proteg-los;

Poltica de criptografia, para fornecer orientaes sobre o uso de

tecnologia de criptografia para proteger os dados da rede;

Poltica de acesso remoto, para ajudar os colaboradores a acessarem

de forma segura a rede quando estiverem trabalhando fora do
escritrio.

Compartilhe este guia:

8
Use uma senha
Proteja sua companhia
complexa
5 de ameaas externas
Proteja os dispositivos sem fio com a mesma segurana que voc usa para a
rede da empresa, como por exemplo, firewalls, VPNs e softwares de antivrus.
Existem aparelhos que trabalham com todas as funes de segurana de
uma vez s e podem ajudar a proteger sua rede com um firewall, VPN segura,
proteo de voz e de trfego de vdeo, entre outras opes.

Compartilhe este guia:

9
Use uma senha
Proteja sua rede cabeada
complexa
6 de ameaas wireless
Pea para o CIO instalar dispositivos de wireless com IPS (Intelligent
Protection Switching) para previnir pontos de acesso no autorizados e
outras ameaas sem fio, at mesmo se a companhia no tiver uma WLAN.
H equipamentos no mercado que so desenhados especificamente
para monitorar e previnir essas ameaas.

Compartilhe este guia:

10
 Mude o nome ou SSID
7 padro da rede
Quando o CIO est configurando um novo equipamento de rede, pea para
que ele mude o nome padro para tornar mais difcil a localizao da rede
por parte dos hackers e impedir que o SSID seja disseminado para outros
lugares. No escolha o nome, o nmero de telefone ou outra informao
sobre a companhia que seja fcil de adivinhar ou de encontrar na Internet.

Essa no uma medida de segurana. Invasores ainda possuem maneiras

de detectar sinais wireless em uma determinada rea. Entretanto, para a
maioria dos outros supostos hackers, no ter o nome da sua rede Wi-Fi
transmitido uma boa maneira de impedir uma ameaa de invaso. O
lado ruim dessa medida que toda vez que algum dispositivo precisar ser
conectado, o usurio ter que digitar o nome da rede.

Compartilhe este guia:

11
 Desabilite o acesso
8 administrativo pela rede wireless

Talvez seja difcil de impedir que um determinado hacker invada sua rede,
mas voc no precisa facilitar o trabalho dele. Desabilitando o acesso
administrativo a partir de redes sem fio deve manter qualquer hacker bem
sucedido de causar ainda mais estragos, fazendo alteraes na configurao
do seu roteador Wi-Fi. claro que isso significa que quaisquer ajustes para o
seu roteador Wi-Fi teria de ser feitos a partir de um laptop ou desktop em sua
rede local com fio. Mas a proteo adicional vale esse aborrecimento.

Compartilhe este guia:

12
 9 Crie uma rede de convidados

Seria rude no permitir que amigos e parentes acessem a rede Wi-Fi da

empresa quando eles esto te visitando. Mas fornecer uma senha esttica
para todo mundo algo inapropriado para a segurana. Em vez disso, pea
para o CIO definir uma rede sem fio separada, sob um um outro SSID, um
recurso suportado por um nmero cada vez maior de roteadores sem fio.

Com isso, possvel alterar a senha sem afetar os dispositivos conectados.

possvel at desativar a rede por inteiro se no estiver sendo usada.

Compartilhe este guia:

13
 10 Crie uma lista de dispositivos

A maioria dos roteadores possuem uma lista de dispositivos que mostra os

usurios com fio e sem fio atualmente conectados. Vale a pena pedir para
o CIO verificar periodicamente essa lista de dispositivos organizada pelo
roteador. Anos atrs, o lder de TI s conseguiria ver um endereo de IP do
usurio, um endereo MAC e talvez um nome de host.

As interfaces dos roteadores atuais esto ficando mais robustas. Elas esto
permitindo mostrar todas essas informaes e o tipo de usurio que est
conectado. Solues para Cloud e apps mveis que permitam a verificao
remota de quem ou o que est se conectando rede corporativa, alm de
avisar quando um dispositivo se conecta rede tambm esto sendo criadas.

Compartilhe este guia:

14
 Mantenha seu Firmware
11 atualizado
Periodicamente, os fornecedores de roteadores criam e postam novas
firmwares, ou seja, um conjunto de instrues operacionais programadas
diretamente no hardware de um equipamento eletrnico, para cada um
de seus produtos no site da empresa. Algumas vezes, essa firmware pode
corrigir falhas de segurana.

Roteadores esto cada vez mais fceis de serem atualizados. Os mais

recentes notificam o gerente de TI sobre quando h uma nova firmware
disponvel e alguns at permitem que a atualizao seja feita por completo
sem sair da interface do roteador, um recurso interessante.

Compartilhe este guia:

15
 12 Use configuraes de Firewall

A maior parte dos roteadores possuem algum tipo de firewall ou proteo

WAN para defender o dispositivo de ameaas da web. Roteadores de alta
qualidade ou de duas bandas tendem a ter um firewall mais avanado
com mais recursos de segurana. No entanto, possvel implementar um
software de cdigo aberto em um roteador mais antigo ou mais barato,
trazendo algumas funcionalidades avanadas. H roteadores com possuem
configuraes que permitem fornecer uma proteo de firewall para trfego
de IPv4 e IPv6, bem como para filtrar potenciais ameaas vindas da Internet.

Compartilhe este guia:

16
Tambm importante tomar um cuidado: se o CIO usa o redirecionamento
de portas para configurar o acesso remoto de volta para LAN corporativa,
permitindo alguma filtragem WAN, pode causar problemas com o acesso
remoto. Ainda assim, isso no deve desencorajar a maior parte dos usurios
de usar as capacidades de um firewall SPI e os recursos de WAN contra
ameaas de segurana encontrados em boa parte dos roteadores wireless.

Muitas desses recursos de segurana podem ser ativados com um clique.

Usurios avanados podem utilizar tambm um recurso encontrado nos
roteadores que de configurar as regras de um firewall para bloquear tipos
especficos de servios como o IDENT ou Telnet de entrarem pelo trfego do
roteador.

Compartilhe este guia:

17
 13 Envolva os colaboradores

Os colaboradores so o ativo mais valioso quando o assunto proteger

a rede. Sem palestras ou reunies que expliquem a necessidade dessa
proteo da rede sem fio, boa parte dos colaboradores simplesmente no
esto cientes dos riscos. Por exemplo, a maioria das pessoas no faz ideia
que o simples ato de plugar um Access Point em uma porta de Ethernet pe
em perigo a segurana da rede corporativa.

Envolva seus funcionrios na tarefa de proteger a rede. Cartazes informativos

e treinamento sobre segurana, senhas de acesso e sobre privacidade podem
ajudar a manter os sistemas de comunicao da companhia seguros.

Compartilhe este guia:

18
 Faa uma auditoria
14 e um mapeamento
Se isso no foi feito recentemente, ideal que o CIO da empresa realize uma
auditoria e um mapeamento da rede corporativa. Tambm importante
ter um entendimento claro e completo da infraestrutura de rede, como por
exemplo o modelo, a localizao, as configuraes bsicas dos firewalls,
roteadores, switches, portas e cabeamento de Ethernet e Access Points
Wireless. Alm disso, o CIO deve saber quais servidores, computadores,
impressoras ou quaisquer outros dispositivos esto conectados, onde esto
conectados e se a conectividade deles passa pela rede corporativa.

Durante a auditoria e o mapeamento, possvel encontrar vulnerabilidades

especficas de segurana ou caminho nos quais o CIO pode aumentar a
proteo, performance e confiabilidade da rede, ou tambm pode encontrar
um firewall mal configurado.

Compartilhe este guia:

19
Se a empresa est trabalhando com uma rede pequena, com apenas poucos
componentes de rede e uma dzia ou menos de estaes de trabalho, o CIO
talvez precise fazer a auditoria manualmente e criar uma mapa visual em
uma folha de papel. Para redes maiores, o CIO pode utilizar softwares de
auditoria e mapeamento. Eles conseguem escanear a rede e produzir um
diagrama ou mapa da rede.

Compartilhe este guia:

20
 15 Mantenha a rede atualizada

Uma vez que o CIO terminar a auditoria e o mapeamento da rede, considere a

ideia de mergulhar ainda mais fundo. o momento de checar as atualizaes
de firmware ou software em todos os componentes de infraestrutura de
rede. Faa login nos componentes para garantir que as senhas padro
foram alteradas, reveja as definies para qualquer configurao perigosa
e observe outros aspectos ou funcionalidades de segurana que a empresa
no esteja utilizando.

Depois basta olhar todos os computadores e dispositivos conectados

rede corporativa. Certifique-se que o bsico como sistemas operacionais e
atualizaes de drivers, firewalls individuais estejam ativados, e o antivrus
esteja rodando e atualizado com as senhas igualmente atualizadas.

Compartilhe este guia:

21
 Garanta a segurana fsica
16 da rede
Muitas vezes a segurana fsica da rede minimizada ou negligenciada
pelas empresas, mas ela pode ser to crucial quanto um firewall atualizado.
Da mesma forma que a companhia precisa de proteo contra hackers,
malwares, robs e vrus, ela tambm precisa de proteo contra ameaas
locais.

Sem uma segurana fsica forte no prdio ou na rede, um hacker prximo

ou at mesmo um colaborador pode tirar vantagem disso. Por exemplo,
possvel plugar um roteador wireless em uma porta Ethernet aberta, o que
d acesso wireless a qualquer um prximo do local da empresa. Mas se essa
porta Ethernet no estivesse visvel ou pelo menos desconectada, isso no
aconteceria.

Compartilhe este guia:

22
Garantir que a empresa tenha um bom plano de segurana tanto do prdio
quanto da rede cabeada para evitar invasores, assegurar os armrios de
cabeamento e outros locais onde esto os componentes de infraestrutura de
rede tambm extremamente importante. Pea para o CIO instalar trancas
nos gabinetes e portas de acesso, fazendo o mesmo com Access Points de
wireless. Depois, desconecte portas Ethernet no usadas, fisicamente ou via
configurao de Switch/Roteador, especialmente aquelas em reas pblicas
do prdio.

Compartilhe este guia:

23
 Considere um filtro de
17 endereamento MAC
Um dos principais problemas da parte cabeada da rede a falta de uma
autenticao rpida e fcil ou de um mtodo de criptografia. As pessoas
podem simplesmente plugar o cabo no equipamento e usar a rede. Em uma
rede wireless existe pelo menos o protocolo de segurana WPA2-Personal
(PSK) que mais fcil de implantar.

Apesar de um filtro de endereamento MAC poder ser contornado por um

determinado hacker, ele pode servir como primeira camada de segurana e
evitar, por exemplo, que um colaborador desatento cause uma abertura grave
de segurana, como permitir que um convidado plugue seu equipamento
na rede particular da empresa.

Esse filtro tambm fornece mais controle para o CIO sobre quais dispositivos
esto conectados na rede. Porm, o CIO no pode achar que isso o suficiente
com relao segurana. Ele precisa estar preparado para deixar a lista de
endereos aprovados com MAC atualizada.

Compartilhe este guia:

24
 Implementar VLANs para
18 separar o trfego
Se a empresa trabalha com uma rede menor, que ainda no foi segmentada
em LANs virtuais, considere fazer um pedido para que seu CIO mude isso.
possvel utilizar VLANs para agrupar portas de Ethernet, Access Points
wireless e usurios em mltiplas redes virtuais.

Talvez uma boa opo a de usar VLANs para separar o tipo de trfego de
rede (acessos em geral, VoIP, SAN, DMZ), por razes de performance ou
design e os tipos de usurios (colaboradores, gerenciamento, convidados) por
razes de segurana. VLANs so especialmente teis quando configuradas
para atribuio dinmica. Por exemplo, ao plugar seu equipamento na rede,
automaticamente uma VLAN seria designada exclusivamente para este
usurio. Isso possvel atravs da insero de tags por endereamento MAC
ou autenticao 802.1X que uma opo mais segura.

Para usar VLANs, os roteadores e switches da empresa devem suportar

este tipo de rede. Pea para o CIO procurar pelo suporte IEEE 802.1Q nas
especificaes do produto.

Compartilhe este guia:

25
 19 Use 802.1X para autenticao

Autenticao e criptografia na parte cabeada da rede so muitas vezes

ignoradas devido alta complexidade envolvida nos processos. Criptografar
conexes sem fio um senso comum na rea de TI, mas ideal no se
esquecer das conexes cabeadas. Um hacker local pode plugar na rede e
nada iria det-lo de receber e enviar pacotes de dados.

Implementar a autenticao 802.1X no iria criptografar o trfego Ethernet.

No entanto, garantiria pelo menos a proteo no envio e acesso da rede at
que o CIO providenciasse uma credencial de acesso. Outro grande benefcio
da 802.1X a habilidade de atribuir usurios em VLANs de forma mais
dinmica.

Compartilhe este guia:

26
Para implementar a autenticao 802.1X, necessrio primeiramente
um servidor de servio de autenticao remota por ligao (RADIUS), que
basicamente funciona como uma base de dados do usurio e o componente
que autoriza ou nega o acesso rede. Se a empresa utiliza um servidor
Windows, ela j tem um servidor RADIUS: o NPS (Network Policy Server) ou
em verses mais antigas do Windows Server, o IAS (Internet Authentication
Service).

Compartilhe este guia:

27
 Use VPNs para criptografar apenas
20 PCs e servidores selecionados

Se a empresa est realmente disposta a mudar o modelo de segurana e

garantir maior proteo ao trfego da rede, considere usar criptografia.
Lembre-se que at mesmo com as VLANs e autenticaes 802.1X, algum
pode observar a rede (VLAN) para capturar trfego no criptografado que
pode apresentar senhas, e-mails e documentos sigilosos.

Apesar de existir a possibilidade de criptografar todo o trfego, bom que o

CIO analise primeiro a rede corporativa. Talvez faa mais sentido criptografar
apenas comunicaes selecionadas que o CIO julgar mais sensveis e que
ainda no esto criptografadas, tais como SSL/HTTPS. O lder de TI pode
enviar o trfego sensvel atravs de uma VPN padronizada.

Compartilhe este guia:

28
 21 Criptografe a rede por inteira

possvel criptografar a rede inteira. Uma opo o OPsec. Com ele, um

servidor Windows poder trabalhar como servidor IPsec e a capacidade
do cliente ser suportada por esse servidor. No entanto, o processo de
criptografia pode ser uma sobrecarga na rede, diminuindo as taxas de
transferncia eficazes drasticamente.

Tambm existem solues de criptografia de rede prpria fornecidas por

fornecedores de rede, muitas das quais utilizam uma abordagem de Layer 2
ao invs de Layer 3 (a Layer 2 ideal para redes menores, diferente da Layer
3 que indicada para projetos de conexo de uma rede a outras redes)
como IPsec para ajudar a diminuir a latncia e a sobrecarga.

Compartilhe este guia:

29
 Compartilhe esse guia:

Compartilhe este guia:

30
Compartilhe este guia:
31