[Tutorial] Configurando uma rede wireless no Linux

Numa rede wireless, o dispositivo central é o access point (ponto de acesso). Ele é ligado no hub da rede, ou diretamente no modem ADSL ou cable, e se encarrega de distribuir o sinal para os clientes.

Ao contrário de um hub, que é um dispositivo "burro", que trabalha apenas no nível físico e dispensa de configuração, o access point possui sempre uma interface de configuração, que pode ser acessada via navegador, a partir de qualquer um dos micros da rede. Basta acessar o endereço IP do access point, veja no manual qual é o endereço padrão do seu.

Se o endereço for 192.168.1.254 por exemplo, configure seu micro para usar um endereço dentro da mesma faixa (192.168.1.10 por exemplo), de forma que ele faça parte da mesma rede que ele. Depois de acessar da primeira vez, aproveite para definir uma senha de acesso e alterar o endereço padrão por um dentro da faixa de endereços IP usada na sua rede.

Para detectar os pontos de acesso disponíveis (a partir do cliente), use o comando:

Código:

# iwlist wlan0 scan

Lembre-se que, dependendo do driver usado, o dispositivo de rede usado será diferente. Ao utilizar o driver para placas ADM8211 por exemplo, a placa wireless será vista pelo sistema como "eth0", e não como "wlan0", que seria o mais comum.

Para que o comando funcione, é preciso que a placa esteja ativada. se necessário, antes de executá-lo use o comando:

Código:

# ifconfig wlan0 up

Se você estiver dentro do alcance de algum ponto de acesso, o iwlist lhe retorna um relatório como este:

Código:

root@kurumin:/home/kurumin# iwlist wlan0 scan
wlan0 Scan completed :
Cell 01 - Address: 00:51:56:81:81:01
ESSID:""
Mode:Master
Channel:11
Quality:22 Signal level:0 Noise level:0
Encryption key:on
Bit Rate:11Mb/s

Neste caso, temos um ponto de acesso dentro da área de alcance. Falta apenas configurar a placa para se conectar a ele.

Veja que este ponto de acesso está com a encriptação via Wep ativa (Encryption key:on) e não está divulgando seu ESSID (ESSID:""). Este é um exemplo de configuração de um ponto de acesso não público, onde é necessário saber ambas as informações para se conectar à rede.

Na ilustração temos um exemplo de resultado ao escanear uma rede pública, neste caso o serviço de acesso oferecido num aeroporto, onde o objetivo é permitir que os clientes conectem-se da forma mais simples possível.

Veja que neste caso estão disponíveis dois pontos de acesso, ambos usam o ESSID "vex" e ambos estão com a encriptação de dados desativada (Encryption key:off). Por usarem o mesmo ESSID, eles fazem parte da mesma rede, por isso você não precisa especificar em qual deles quer se conectar. Basta configurar a rede wireless e, em seguida, obter a configuração da rede via DHCP.

Em outros casos, pode haver mais de uma operadora oferecendo acesso no mesmo local, ou mesmo outros pontos de acesso de particulares, que intencionalmente ou não estejam com a encriptação desativada, oferecendo acesso público. Neste caso, você escolhe em qual rede quer se conectar especificando o ESSID correto na configuração da rede.

É comum também que os pontos de acesso sejam configurados para usar um canal específico, neste caso, ao rodar o " iwlist wlan0 scan" você verá também uma linha "channell=x", onde o x indica o número do canal, que também precisa ser especificado na configuração da rede.

Tome cuidado ao se conectar a pontos de acesso público. Com a encriptação desativada, todos os dados transmitidos através da rede podem ser capturados com muita facilidade por qualquer um dentro da área de alcance. Lembre-se de que o alcance de uma rede wireless cresce de acordo com a potência da antena usada no cliente. Com uma antena de alto ganho, é possível se conectar a um ponto de acesso a 500 metros de distância, ou até mais, caso não exista nenhum tipo de obstáculo pelo caminho.

Sempre que precisar transferir arquivos, use um protocolo que transmita os dados de forma encriptada (como o SSH). Jamais dê upload de arquivos para o servidor do seu site via FTP. Acesse e-mails apenas em servidores que oferecem suporte a pop3 com SSL. Não acesse páginas de bancos, pois a encriptação usada nos navegadores pode ser quebrada com uma relativa facilidade, e obter senhas bancárias é o tipo de situação onde o trabalho necessário vale a pena.

Hoje em dia existem sniffers bastante poderosos, como o kismet, que podem descobrir muitas informações sobre a rede, incluindo o ESSID e a chave de encriptação em pouco tempo, principalmente ao usar chaves de encriptação Wep de 64 bits. Você pode baixá-lo no: http://www.kismetwireless.net/
Ele oferece um conjunto bastante completo de testes de segurança, que podem tanto ser usados para verificar a segurança da sua própria rede, quanto invadir redes mal configuradas. O principal obstáculo para usar o Kismet é que ele é compatível com um número relativamente pequeno de placas, basicamente apenas modelos baseados nos chips Orinoco, Prism, Intel IPW 2100, Atheros e Aironet. Ele não funciona, por exemplo, em conjunto com as placas suportadas através do ndiswrapper.

ESSID

A primeira configuração necessária para se conectar à rede é o ESSID, o código de identificação da rede (definido na configuração do ponto de acesso), que deve ser fornecido pelo cliente ao se conectar no ponto de acesso.

Se o ESSID da sua rede for "casa", por exemplo, o comando seria:

Código:

# iwconfig wlan0 essid casa

Lembre-se sempre de verificar qual é o dispositivo usado pela sua placa de rede wireless, ele varia de acordo com o driver usado (a placa pode ser vista pelo sistema como wlan0, ath0 ou mesmo eth0). Você pode verificar isso rapidamente rodando o comando ifconfig.

Canal

Caso você tenha configurado o ponto de acesso para utilizar um canal específico, configure a placa para utilizá-lo com o comando:

Código:

# iwconfig wlan0 channel 10

A lista dos canais disponíveis varia de acordo com a configuração de país no ponto de acesso. Em teoria, podem ser usados 17 canais, de 0 a 16. Porém, apenas 14 deles, de 1 a 14 são licenciados pelo FCC e a lista diminui mais um pouco de acordo com o país escolhido. Nos EUA é permitido o uso dos canais de 1 a 11, na Europa de 1 a 13 e no Japão de 1 a 14. Enquanto escrevo ainda não existe legislação sobre isso no Brasil, mas é provável que seja seguido o padrão dos EUA.

Usar canais diferentes é uma forma de minimizar interferências caso você esteja colocando vários pontos de acesso dentro da mesma área, ou perceba que existem pontos de acesso de vizinhos, muito próximos do seu.

Existe uma diferença de freqüência de apenas 5 MHz entre cada canal, porém o sinal das placas 802.11b ocupa uma faixa de 30 MHz. Por isso, para que realmente não exista possibilidade de interferência entre dois pontos de acesso próximos, é preciso usar canais distantes, como por exemplo 1, 6 e 11 ou 1, 7 e 14.

De qualquer forma, a moral da história é que, independentemente do canal usado, é preciso usar o mesmo tanto na configuração do ponto de acesso quanto na configuração dos clientes para que a rede funcione.

Encriptação WEP

Caso você tenha ativado a encriptação via Wep no ponto de acesso, configure a chave usada. Na configuração do ponto de acesso você tem a opção de criar uma chave usando caracteres hexadecimais (onde temos 16 dígitos: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F e cada dígito equivale a 4 bits) ou usar caracteres ASCII, onde é possível misturar letras, números caracteres especiais.

Ao usar caracteres hexadecimais, a chave terá 10 dígitos (123456789A no exemplo) e o comando será:
# iwconfig wlan0 key restricted 123456789A

Se a chave for em ASCII, onde cada caracter equivale a 8 bits, a chave terá apenas 5 dígitos (qwert no exemplo) e o comando será:

Código:

# iwconfig wlan0 key restricted s:qwert

Veja que ao usar uma chave em ASCII você precisa adicionar o "s:" antes da chave. Se você tiver configurado o ponto de acesso para usar uma chave de 128 bits (a segurança contra acessos não autorizados é muito maior), então a chave terá 26 dígitos em hexa ou 13 em ACSII.

Veja que 10 caracteres hexadecimais formam uma chave de apenas 40 bits (4 por caracter). Este é justamente o problema fundamental das chaves de 64 bits: na verdade, são duas chaves separadas, uma de 40 bits e outra de 24 bits (chamada de vetor de inicialização), muito fácil de quebrar depois que a primeira é descoberta. Uma chave de 64 bits sem problemas óbvios poderia oferecer uma segurança aceitável, mas uma chave de 40 bits é fraca em todos os aspectos. No caso das chaves de 128 bits, a chave de encriptação tem 104 bits, com mais os mesmos 24 bits do vetor.

Ativando a rede

Depois de terminar a configuração inicial, você pode ativar a interface com o comando:

Código:

# ifconfig wlan0 up

O último passo é configurar os endereços da rede, como você faria numa placa convencional. No Kurumin, por exemplo, você pode usar o netcardconfig. No Mandrake use a ferramenta de configuração de rede encontrada no MCC, e no Fedora o utilitário "system-config-network".

Se você se empolgou e quer ir adiante, configurando também a rede manualmente, use os comandos:

Código:

# ifconfig wlan0 192.168.0.2 netmask 255.255.255.0
(configura o IP e a máscara de sub-rede)
# route del default
# route add default wlan0
# route add default gw 192.168.0.1

(remove qualquer configuração anterior, colocando a placa wireless como rota padrão do sistema e configurando o gateway da rede)
Se preferir configurar a rede via DHCP, rode o comando:

Código:

# dhcpcd wlan0

Algumas distribuições (como o Knoppix) usam o pump no lugar do dhcpcd. Neste caso o comando fica:

Código:

# pump -i wlan0

Não se esqueça de configurar também os endereços dos servidores DNS no arquivo "/etc/resolv.conf". Um exemplo de configuração do arquivo é:

Código:

# cat /etc/resolv.conf
nameserver 200.199.252.68
nameserver 200.248.155.11
nameserver 200.199.201.23

Com a rede funcionando, você pode monitorar a qualidade do link, taxa de transmissão de dados, tipo de encriptação, informações sobre o ponto de acesso, entre outros detalhes da conexão usando o "wavemon", um pequeno utilitário incluído na maioria das distribuições.

Ativando durante a inicialização

O próximo passo ao configurar manualmente é fazer com que a configuração seja carregada durante o boot. Muitos utilitários de configuração (como o Kwifimanager que veremos adiante) fazem isso para você.
Mas, se você preferir do jeito mais ortodoxo, crie o arquivo "/etc/sysconfig/network-scripts/ifcfg-wlan0". Todos os arquivos dentro da pasta /etc/sysconfig/network-scripts/ são lidos durante o boot. Você verá um arquivo separado para cada placa de rede instalada no sistema. O arquivo ifcfg-eth0 configura a placa eth0 e assim por diante.

Crie o arquivo de acordo com o nome com que sua placa é reconhecida pelo sistema. Se a sua placa é reconhecida como "ath0", por exemplo, o arquivo será o "ifcfg-ath0".

Dentro do arquivo vão os parâmetros da rede, como em:

Código:

DEVICE=wlan0
ONBOOT=yes
BOOTPROTO=dhcp
TYPE=Wireless
MODE=Managed
ESSID="casa"
CHANNEL=10
IPADDR=
DOMAIN=
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
USERCTL=no
PEERDNS=no
IPV6INIT=no
RATE=Auto

Ou:

Código:

DEVICE=wlan0
ONBOOT=yes
TYPE=Wireless
MODE=Managed
ESSID="casa"
CHANNEL=10
IPADDR=192.168.0.2
NETMASK=255.255.255.0
NETWORK=192.168.1.0
BROADCAST=192.168.0.255
GATEWAY=192.168.0.1
USERCTL=no
PEERDNS=no
IPV6INIT=no
RATE=Auto

Você pode também criar um script com os comandos para fazer a configuração manual e executá-lo manualmente quando quiser usar a rede wireless, como por exemplo o caso de quem tem um notebook que fica a maior parte do tempo plugado na rede de 100 megabits da empresa, mas que em casa usa uma rede wireless.

Neste caso, crie um arquivo de texto, como por exemplo /home/kurumin/wireless. Dentro dele vão os comandos, um por linha, como em:

Código:

#!/bin/sh
iwconfig wlan0 essid casa
iwconfig wlan0 channel 10
iwconfig wlan0 key restricted 1234567890
ifconfig wlan0 up
ifconfig wlan0 192.168.0.2 netmask 255.255.255.0
route del default
route add default wlan0
route add default gw 192.168.0.1

Transforme o arquivo num executável com o comando "chmod +x /home/kurumin/wireless" e execute-o (como root) sempre que quiser ativar a rede wireless. Você pode ter vários arquivos diferentes caso precise se conectar a várias redes com configurações diferentes.

Se você usar ao mesmo tempo uma placa de rede cabeada e uma placa wireless e o acesso pela placa wireless fique intermitente, com a configuração caindo poucos minutos depois de configurada a rede, experimente começar a desativar a placa cabeada ao configurar a rede wireless.

Este é um problema freqüente, principalmente ao utilizar o ndiswrapper, mas felizmente fácil de resolver. Antes de configurar a placa wireless, desative a placa cabeada. Se a placa cabeada é a eth0 por exemplo, rode o comando:

Código:

# ifconfig eth0 down

Você pode adicionar o comando no seu script de configuração da rede, para que ele seja executado sempre antes dos comandos que configuram a placa wireless.