Cuidado: um único funcionário com acesso wi-fi pode derrubar toda a rede da sua empresa.

E não estou falando apenas da parte sem fio ou do acesso à internet. Toda a rede (DVR, sistema comercial, relógio de ponto) pode parar de funcionar. Nem estou falando de atos propositais, pois o que vou relatar foi um acidente.

Tomar cuidado com os chamados “rogue devices” (dispositivos mal comportados conectados à rede) sempre foi um problema para administradores de rede, desde quando só existiam redes por cabo. Começou a ficar mais complicado quando as redes sem fio começaram a surgir e funcionários bem intencionados, almejando pura conveniência, passaram a trazer de casa seus roteadores Wi-Fi para plugar na rede da empresa e assim poder ter “wireless” para usar no departamento sem precisar pedir verba para isso. Dois problemas já surgem aí: você tem um ponto de acesso externo à rede que você não controla, de segurança incerta, e o funcionário, que muitas vezes não sabe o que está fazendo, pode plugar a porta errada do roteador na rede da empresa, gerando o problema do “rogue DHCP server”.  Mas você acha que se o único ponto wireless da rede for “oficial” com criptografia de trocentos bits está tudo bem? Nem um pouco.

O cliente me chamou dizendo que a internet na empresa dele só funcionava quando queria. Como eu já tinha agendado a troca por um modem ADSL novo fornecido pela OI, ao chegar à empresa nem fui conferir os sintomas e já fui instalando o modem novo que eu havia pré-configurado. Ao testar, uma surpresa: também não tinha acesso à internet. Pior que isso: eu mal conseguia acessar a GUI do modem para ver o status da conexão. Um simples PING para o modem era rejeitado. A mesma coisa acontecia quando eu tentava acessar o DVR para ver as câmeras.

Não era a OI. Alguma coisa estava muito errada na rede da empresa.

Também não era cabeação. Eu conseguia acessar outros computadores e o modem estava do lado do switch.

Depois de andar bastante de um lado para outro tentando entender o que se passava, tive um estalo. Rodei no servidor o Softperfect Network Scanner (SNS) e lá estava: havia um dispositivo na rede da empresa que não estava nos meus registros. Mais claro ainda: ele estava respondendo em dois endereços IP  e um deles era o que deveria ser do modem ADSL, que também é o servidor DHCP de toda a rede. Ora, duas máquinas já não podem ter o mesmo IP de jeito nenhum e se uma delas é servidor e gateway da empresa as consequências se multiplicam.

Mas quem seria?

Peguei o endereço MAC reportado pelo SNS e procurei o fabricante. Era um dispositivo Samsung.

Ahhh… eu pensei: isso já simplifica muito! alguém com um celular samsung mal comportado descobriu a senha da rede wireless e está derrubando a rede!

Pequeno problema: Parece que todo mundo naquela empresa tem smartphone Samsung! Dos diretores às funcionárias. Somente no Departamento Comercial eu contei cinco!

Pedi permissão e saí conferindo o endereço MAC de um por um. Acabei encontrando com a funcionária do Financeiro. Bastou desligar o acesso Wi-Fi dele e os problemas desapareceram.

OBS: Esqueci de anotar o modelo. Mas é um aparelho pequeno, rodando Android. [27/07:  Foi um Samsung Galaxy Pocket Duos (GT-S5302B)]

Como aquela funcionária tinha a senha da rede sem fio? Não sei. Não era para ter. As únicas pessoas que poderiam ter dado (da família do dono) me disseram que não deram. Quando eu anunciei publicamente que era um aparelho Samsung que estava derrubando a rede essa funcionária foi fuçar (eu soube depois) no Samsung Grand Duos da diretora. Existem apps Android que exibem todas as senhas armazenadas então ela talvez tenha instalado lá e apagado. Também é possível que ela tenha configurado o telefone da diretora como Access Point para ela. Ela também poderia ter obtido facilmente sentando em qualquer máquina Windows 7 com acesso de administrador (as da diretoria). Não sei como ela fez e se a diretoria não perguntou, problema deles. O meu trabalho eu fiz e não vou pressionar funcionário dos outros em uma empresa onde sou só prestador de serviços.

Eu poderia ter “resolvido” simplesmente mudando a senha do roteador wi-fi? Sim. Mas assim como resolver problemas de computador formatando, isso seria uma solução “meia-boca” porque:

  • Tem muita coisa acessando o roteador legitimamente cuja senha precisaria ser mudada também. Incluindo uma impressora sem fio HP que só pode ser configurada plugando a USB (é mole?);
  • Nada impede o culpado de obter a senha outra vez;
  • Eu não aprenderia quem foi e não teria a oportunidade de deixar todo mundo preocupado com as consequências. Quando eu anunciei o que eu estava procurando a maioria já estendeu o telefone para que eu olhasse, mas justamente a culpada tirou o dela da mesa e colocou no bolso num gesto suspeitíssimo.

Obviamente a interferência na rede foi um acidente. Algum bug no celular dela. Estava criando apenas problemas específicos mas logo ela estaria interferindo com cada uma das máquinas da rede, por estar impedindo o servidor DHCP de funcionar. Imagine se fosse alguém que quisesse prejudicar a operação da empresa. Poderia fazer isso com o telefone dentro do carro, no estacionamento.

03/04/2015 – Esqueci de mencionar que nessa empresa o roteador Wi-Fi é configurado para funcionar como Access Point (rede da empresa em uma das portas LAN) porque há uma necessidade disso. Se estivesse configurado como roteador mesmo (rede da empresa na porta WAN) o celular dessa funcionária teria derrubado apenas todo mundo conectado ao roteador (o que também seria ruim, mas muito mais fácil de diagnosticar). Ela não poderia interferir com a rede principal. Então um modo relativamente simples de evitar que isso ocorra e continuar dando acesso aos funcionários é não usar dispositivos do tipo Access Point. Use apenas roteadores, configurados como tal.

25 comentários
  • zalmiropetry - 2 Comentários

    Passei por um problema parecido em casa quando troquei o cabeamento por wi-fi, rodava tudo bem até eu dar a senha para o meu enteado acessar pelo celular, era ele logar na rede e caia. O modem queimou recentemente e eu aproveitei para substituir o modem e o acesspoint por um único dispositivo. Depois disso não tive mais problemas. Não tenho a mão agora os modelos dos dispositivos, se interessar posso pesquisar e citar em outro comentário.

    • Jefferson - 6.542 Comentários

      Roteadores e servidores nesse cenário são apenas vítimas. Só importa saber o modelo do celular. No dia do evento eu fiz uma pesquisa e encontrei outra pessoa dizendo que um smartphone Samsung estava derrubando sua rede, sem dizer o modelo. Mas não consigo achar o link.

  • Jefferson - 6.542 Comentários

    Esqueci de frisar uma coisa importante: O servidor DHCP (o modem) tinha endereço 192.168.0.100 e estava configurado para atribuir endereços a partir de 192.168.0.101. Um dispositivo bem comportado jamais poderia ter o endereço do servidor DHCP. E na minha rede específica um dispositivo “visitante” não poderia ter nenhum endereço de 192.168.0.1 a 192.168.0.100, porque essa faixa eu reservei para dispositivos que precisam de IP fixo atribuído por mim. É simples de entender como um dispositivo qualquer pode criar esse problema: basta que esteja configurado para o mesmo IP do modem. Mas por default isso não deveria acontecer em um celular. É preciso que haja um bug, que tenha sido configurado incorretamente pelo usuário, ou que algum programa rodando nele esteja criando uma rede própria que precisa de mais de um IP. Isso confere parcialmente com minha observação, quando flagrei o celular com dois IPs diferentes. Mas como não me recordo se é possível um mesmo MAC ter dois IPs ao mesmo tempo, não sei se essa explicação serve. Se não pode, é bug e o telefone estava trocando de IP sozinho.

  • Mezzenga - 18 Comentários

    O Rodrigostoledo.com comentou sobre instabilidade de celulares Samsung em redes wifi aqui.

  • Walter R. Gomes - 140 Comentários

    Não pode ser algum vírus ou coisa que o valha no celular?

    • Jefferson - 6.542 Comentários

      Possível, mas improvável. Tem muitas outras coisas que podem estar erradas antes de ser um malware no Android.

      • Walter R. Gomes - 140 Comentários

        Quais, por exemplo? Eu ando tendo um comportamento estranho aqui em casa, nada relacionado ao se post, mas tenho quase certeza que é o danado do celular que causa (ele dá “wakeup” em um mini pc da Zotac que tenho aqui como htpc).

        • Walter R. Gomes - 140 Comentários

          É um Samsung S3.

        • Jefferson - 6.542 Comentários

          Eu citei nos comentários: ter atribuído ip fixo ao celular, um programa mal comportado (eu imagino aqueles telefones que podem operar como access point também), etc.

          Quanto ao “wakeup”, isso é curioso. Seu mini-pc está em modo sleep ou hibernação e o S3 o acorda? Não se acorda um dispositivo à toa, simplesmente “estando” na rede ou passeando por ela. Para isso é preciso mandar um “magic packet” (WAKE ON LAN) para o endereço MAC dele. E ao contrário com o que acontece com IPs, endereços MAC não seguem uma sequência de apenas 254 posibilidades, fácil de achar em um SCAN.

          Você não tem nenhum programa de análise de redes instalado no S3, tem? Mesmo um programa de análise não deveria acordar máquinas sem permissão. Mas quem sabe?

        • Jefferson - 6.542 Comentários

          Pensando melhor no seu problema eu me toquei que o que está acontecendo (o smartphone acordar o HTPC) é algo desejável! Você não instalou um programa qualquer para usar em conjunto com o HTPC e esqueceu?

          • Walter R. Gomes - 140 Comentários

            Nossa, só agora vi a sua resposta, desculpe, Jefferson.
             
            Então, respondendo a última questão, na época que eu constatei o problema, não havia nenhum programa instalado para controlar o HTPC. Hoje eu tenho dois programas que estou testando para controlar o XBMC, mas, por outro lado, eu desativei o sleep do Zotac, eu desligo ele normalmente e ligo na mão.

            Na minha rede, eu atribui endereços fixos para todos os meus dispositivos sim, mas só aqueles com mac registrado no roteador podem acessar.

  • Ygor Almeida - 136 Comentários

    Pode não ser o caso da empresa, mas como sei que você utiliza android, talvez queria fazer o teste no seu laboratório ou em algum cliente mesmo
    http://forum.xda-developers.com/showthread.php?t=1282900
    Teste o WifiKill, já brinquei com ele logico para fins de teste apenas, como administrador, e funciona legal – digamos que mata mesmo a conexão dos outros.

    • Jefferson - 6.542 Comentários

      Ygor, no mínimo é interessante saber que isso existe, porque é uma ferramenta que pode (e será) usada para o mal. Mais um motivo para restringir o uso da rede wireless, de preferência apenas para dispositivos com endereços MAC cadastrados.

      • Ygor Almeida - 136 Comentários

        Ryan,
        Normalmente o que faço é isso.
        SSID escondido e MAC cadastrado apenas para que funcione na rede corporativa. Em alguns casos dependendo do tipo de segurança pretendida – 802.1x devidamente configurado.
        Como é sabido que escritórios os funcionários gostam de usar dispositivos pessoais no Wifi, ou o cliente disponibiliza wifi para visitantes do escritório – tem sido muito comum – eu mesmo frequento alguns que posso usar a internet enquanto aguardo reunião com o cliente e etc – e evitar dor de cabeça para o cliente – em ter que homologar maquina de visitante para adentrar a rede é uma VLAN separada só com Internet no máximo – um SSID diferente para “guest”. Já vi alguns escritório para não dar briga colocar um ADSL ou similar simples – velocidade contratada pequena só para esse tipo de situação.
        Mas depende muito do escritório – do tipo de cliente – do entendimento e quanto ele pode gastar.
        As possibilidades são infinitas.
        Mas voltando ao WifiKill, tente usar em casa para ver – a técnica é simples. Brinquei como forma de mostrar o quão vulnerável era a rede do cliente – derrubando o Wifi do Hotel todo – e navegando sozinho na frente do cliente na sala de reunião. Ele lógico repensou todo o processo, e adotou minhas recomendações. Cliente feliz ;)

        • Jefferson - 6.542 Comentários

          Ygor,

          Roteadores com DD-WRT (e, se não me engano, o OpenWRT) tem a possibilidade de criar VLANs separadas e eu tenho estudado a possibilidade de fazer justamente isso: Usando apenas um roteador ter um SSID “office” com acesso a toda a rede e um SSID “guest” que seja um túnel direto para a internet sem enxergar nada mais. De preferência, com restrição no uso da banda.

          Eu já testei o Wifi-Kill. O danado matou o acesso até da minha máquina com fio e eu nem tinha pedido a ele isso. Eu só havia pedido um “grab all” para ver se ele era realmente capaz de dizer quem estava acessando o quê.

          O danado é ainda mais perigoso do que eu pensava.

          Aproveitei para instalar o Droidsheep e o FaceNiff. Quando eu estiver em uma rede mais congestionada vou ver como funcionam. Meu interesse é descobrir inequivocamente quem está usando o rogue device antes de derrubá-lo. E capturar senhas e sessões, com autorização do dono da rede, é uma boa maneira.

           

          • Ygor Almeida - 136 Comentários

            Ryan,
            Nos meus próprios roteadores tenho utilizado o OpenWRT – http://www.openwrt.org sempre que possível e até mesmo em clientes quando possível.
            O sistema é estável, conta com plugins ótimos e a administração é simples. Recomendo quando possível inclusive para substituir o DD-WRT na maioria dos casos que ele também está disponível.
            Para alguns modelos de roteador, o Gargoyle – http://www.gargoyle-router.com/ – também é interessante – é uma interface mais fácil no estilo da Luci utilizada no OpenWRT.
            Mas já que tocou no assunto:
            http://wiki.openwrt.org/doc/recipes/guest-wlan
            Com a Luci também não é difícil fazer, mas para quem se arrisca em linhas de comando – receitinha de bolo fácil para Guest-WLAN
            Atualmente em casa tenho utilizado os seguintes roteadores com OpenWRT – e tem se comportado Bem
            ASUS RT-N16 (build compilado especial porque só é suportado pelos trunks com patch)
            TP-LINK 1043ND
            TP-LINK 841ND
            TP-LINK 741ND
            TP-LINK WDR4300 (N750)
            Todos com a versão 12-09 Attitude Adjustment http://downloads.openwrt.org/attitude_adjustment/12.09/ 
            Recomendo para qualquer usuário que deixou de ser “novato” e quer explorar melhor seu equipamento.

  • daniel placidolucas de almeida - 62 Comentários

    No quinto paragrafo: “cabeação”, eu acho que é cabeamento

  • Jefferson - 6.542 Comentários

    Finalmente lembrei de olhar o modelo do telefone responsável. Foi um Samsung Galaxy Pocket Duos (GT-S5302B).

  • Fábio Lena - 1 Comentário

    Jefferson, bom dia.
    Na nossa empresa – somos apenas cinco pessoas – acontece isso de cair a internet quando um celular é conectado ao wi-fi. No nosso caso, nós gostaríamos de usar normalmente os celulares em rede. Estávamos pensando em trocar o roteador LinkSys WRT120N, firmware atualizado recentemente.
    O meu Samsung é um SIII mini GT-I8190L e derruba sempre a nossa rede.
    Aparentemente o Motorola RAZR D3 faz a mesma coisa (temos dois deste modelo)
    Já na minha casa isso não acontece. Lá tenho um DLINK.
    Bueno, pelo que notei a solução não é simples.
    A ordem agora é desligar o wi-fi dos nossos celulares durante todo o dia.
    Abraço

    • DANIEL BEGA - 1 Comentário

      Aqui em casa é o meu Samsung S4 que derruba a rede. tenho um dlink dir-300 e ainda não consegui resolver o problema.
       
      Também aconteceu quando um amigo veio com um motorola razr :dashhead1:

  • Bruno - 1 Comentário

    Aconteceu algo parecido comigo, quando eu era um simples estagiário (como sempre), achei um roteador no nosso deposito e plugin na rede na porta wlan, puts, caiu a rede da empresa toda, tanto na matriz e na filial que fica á 7kms de distancia, são interligadas via radio, e nada de eu imaginar que era isto, o roteador tava com o 192.168.0.1, que era o mesmo configurando para o sonicwall que na epoca tambe distribuia os ips, só fui descobrir horas depois, 180 funcionarios pararam a operação, quando despluguei voltou ao normal, ainda levei merito, nunca contei que fui eu huahuahua, serio, mas sinto até hoje o peso desta perda de operação.

  • Luciano Matias - 2 Comentários

    Ryan, comprei um LG D685 e aconteceu de derrubar a rede aqui em casa. Mas isso ocorre quando ele desliga a tela depois que fica um tempo sem usar e quando eu acordo ele, o wifi dele está ligado porém não conectado e a rede derrubada. Meu roteador é um OIWTECH 2421APG. Diante deste cenário estou trocando o celular pois nunca tive esse problema. Fica aí minha informação para uma base de conhecimento. Abraço!

  • adeildo silva - 1 Comentário

    Caros colegas,

    Em minha casa passou a ocorrer depois que comprei um moto g, é ligá-lo e há uma perda de 100% dos pacotes da rede, ele simplesmente consome toda a banda disponível. O meu roteador é um DLINK500B GII que venho usando a vários anos sem problemas. Já estou ficando maluco (2 dias trabalhando nisto sem solução). O interessante é que o moto g fica fazendo um upload interminável e a app responsável é o facebook. Alguém já passou por isso ou já encontrou alguma solução?

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »