Ir para o conteúdo principal
Avaliação de Segurança Wireless Corporativa: Um Framework Completo
  1. Blog/

Avaliação de Segurança Wireless Corporativa: Um Framework Completo

Tabela de conteúdos
TL;DR: Este framework, baseado em adaptadores wireless ALFA, detalha a metodologia de seis fases para avaliacao de seguranca wireless empresarial, cobrindo definicao de escopo, deteccao de AP rogue, auditoria WPA2/WPA3, teste de PMF, isolamento de clientes e avaliacao 802.1X, com template de relatorio e definicao de severidade.
Aviso Legal: Todas as avaliações de segurança wireless devem ser realizadas exclusivamente em redes e infraestruturas para as quais você recebeu autorização explícita e por escrito. O monitoramento wireless não autorizado, a injeção de pacotes ou a implantação de AP falso é ilegal na maioria das jurisdições. Cada fase descrita neste framework pressupõe um contrato de engajamento devidamente formalizado, assinado pelo proprietário dos ativos, abrangendo a janela de testes específica e o escopo de atividades autorizadas. Apenas testes autorizados.

A avaliação de segurança wireless corporativa não se resume a perguntar “conseguimos quebrar a senha”. Uma avaliação abrangente examina cada camada da arquitetura wireless: a robustez dos protocolos de autenticação, a integridade da proteção de frames de gerenciamento, a precisão do inventário de APs autorizados, a solidez do isolamento de clientes nos segmentos de rede guest, e a resistência da infraestrutura 802.1X a ataques de RADIUS falso.

Este framework cobre o ciclo de vida completo de uma avaliação, conforme praticado por equipes profissionais de teste de invasão (penetration testing) em ambientes corporativos. Está estruturado em seis fases sequenciais — escopo e pré-engajamento, reconhecimento passivo, detecção de AP não autorizado, análise de handshake WPA2/WPA3, verificação de PMF, teste de isolamento de clientes e avaliação de EAP/RADIUS — seguidas de um modelo de relatório e referência de ferramentas. Cada fase foi concebida para ser executada com adaptadores ALFA Network, que oferecem a estabilidade no modo monitor, a capacidade de injeção de pacotes e a cobertura multibanda que os testes wireless em nível corporativo exigem.

Seja você um CISO encomendando uma auditoria wireless anual, um red team interno preparando uma avaliação, ou uma empresa externa de penetration testing integrando um novo cliente corporativo, este framework fornece uma metodologia repetível e defensável.


Escopo e Requisitos de Pré-Engajamento
#

A qualidade de qualquer avaliação wireless é definida antes que um único pacote seja capturado. Engajamentos com escopo mal definido desperdiçam tempo, geram exposição legal e produzem achados que não podem ser atribuídos a uma infraestrutura específica. Um documento de escopo bem elaborado elimina ambiguidades e protege tanto a equipe de testes quanto o cliente.

O que Deve Constar no Documento de Escopo
#

O documento de escopo deve enumerar, no mínimo:

  • Todos os SSIDs sob teste, incluindo SSIDs corporativos, SSIDs de guest, SSIDs dedicados a IoT e quaisquer redes ocultas conhecidas pela equipe de rede
  • Bandas de frequência em uso: 2,4 GHz, 5 GHz e 6 GHz (Wi-Fi 6E) — cada banda pode apresentar modelos de AP distintos, comportamentos de driver e configurações de segurança diferentes
  • Perímetro físico: mapa do edifício ou campus com plantas baixas indicando a localização conhecida dos APs, especialmente relevante em edifícios multitenant onde SSIDs de vizinhos podem aparecer nos resultados de varredura
  • Inventário de APs autorizados: a lista de endereços MAC (BSSID) de cada ponto de acesso legítimo, utilizada como linha de base para a detecção de APs não autorizados
  • Carta de autorização assinada pelo CISO, CTO ou proprietário de ativos delegado, cobrindo explicitamente a janela de testes (data e horário de início e término), os nomes dos membros da equipe de testes e as atividades autorizadas (varredura passiva, injeção ativa, desautenticação, simulação de AP falso)

Fora do Escopo por Padrão
#

Salvo inclusão explícita por escrito, os seguintes elementos estão sempre fora do escopo:

  • Dispositivos clientes: laptops, celulares e endpoints de IoT conectados à rede wireless. Ataques ao lado do cliente (coleta de credenciais via RADIUS falso) somente podem ser realizados em dispositivos de teste designados, nunca em equipamentos de usuário em produção
  • Usuários da rede guest: indivíduos conectados a um SSID guest de acesso público não têm expectativa de serem sujeitos de um teste de segurança
  • Redes adjacentes: SSIDs pertencentes a inquilinos vizinhos em um edifício compartilhado, mesmo que visíveis em varreduras passivas

Lembrete Legal#

Sempre obtenha autorização por escrito especificando a janela de testes exata (datas, horário de início, horário de término e fuso horário), os nomes e endereços MAC dos equipamentos de teste, e as técnicas específicas autorizadas. Uma autorização verbal não é suficiente. Armazene a carta de autorização assinada junto ao arquivo do engajamento e mantenha-a acessível durante os testes, caso haja contato com autoridades policiais.

Fase 1: Reconhecimento Passivo
#

Objetivos
#

O reconhecimento passivo estabelece o estado real do ambiente wireless sem transmitir um único byte. Os objetivos são:

  • Identificar cada AP transmitindo dentro do alcance, incluindo aqueles que não constam no inventário autorizado
  • Registrar SSID, BSSID, canal de operação, intensidade do sinal e configurações de segurança (tipo de criptografia, status do PMF)
  • Detectar SSIDs ocultos por meio de respostas a probe requests
  • Identificar interferências de canal co-canal e canal adjacente que possam afetar a confiabilidade dos testes

Durante o reconhecimento passivo, não injete pacotes, não envie desautenticações, não transmita. Esta fase é exclusivamente de escuta.

Ferramentas
#

airodump-ng é adequado para varreduras de snapshot e captura de handshake. Para registro contínuo com metadados mais ricos, o Kismet é preferível — ele produz logs estruturados que podem ser importados em ferramentas de relatório e correlaciona probe requests com identidades de dispositivos ao longo do tempo.

# Passive scan across all bands — DO NOT inject or deauth during recon
sudo airodump-ng wlan0mon --band abg -w enterprise_recon

# Kismet for comprehensive, continuous logging
sudo kismet -c wlan0mon

O Kismet grava arquivos de banco de dados SQLite .kismet e capturas .pcapng simultaneamente, fornecendo um registro persistente que sobrevive à janela de avaliação.

O que Registrar
#

Para cada AP descoberto, registre:

CampoObservações
BSSIDEndereço MAC do rádio do AP
SSIDNome da rede (vazio se oculto)
CriptografiaWPA2-PSK, WPA2-Enterprise, WPA3-SAE, WPA3-Enterprise, Open
CanalObserve APs dual-radio que aparecem em 2,4 e 5 GHz
Sinal (dBm)Útil para estimativa de localização física
Status do PMFExtraído do RSN IE nos frames de beacon: Obrigatório / Suportado / Desativado
FabricanteDerivado do OUI do BSSID — útil para identificar hardware consumer não autorizado

Recomendações de Adaptador
#

  • AWUS036AXML — Tribanda (2,4/5/6 GHz), necessário para detectar APs Wi-Fi 6E operando em canais de 6 GHz. Essencial em ambientes corporativos modernos com infraestrutura Wi-Fi 6E implantada
  • AWUS036ACH — Dual-band (2,4/5 GHz), chipset RTL8812AU confiável, excelente para ambientes onde o 6 GHz não está em uso e é preferível a máxima compatibilidade com as ferramentas existentes

Fase 2: Detecção de AP Não Autorizado
#

Um AP não autorizado (rogue AP) é qualquer AP operando em seu ambiente que não consta no inventário de APs autorizados. Duas categorias são operacionalmente relevantes:

  1. AP não autorizado conectado à rede interna — um funcionário bem-intencionado conecta um roteador consumer, ou um invasor com acesso físico instala um AP oculto em uma tomada Ethernet. Esses APs estão na sua rede interna e contornam todos os controles de perímetro.
  2. Evil twin AP — um AP transmitindo um SSID de aparência legítima (idêntico ou muito semelhante ao SSID corporativo), operado por um invasor para capturar credenciais ou realizar ataques man-in-the-middle. Normalmente não estão conectados à sua rede.

Método de Detecção
#

Compare a lista de BSSIDs obtida no reconhecimento passivo com o inventário de APs autorizados fornecido durante o escopo. Qualquer BSSID transmitindo um SSID corporativo que não conste no inventário é um candidato a AP não autorizado.

# Filter scan output for corporate SSID to isolate all APs broadcasting it
sudo airodump-ng wlan0mon | grep "CorporateSSID"

# Compare discovered BSSIDs against authorized list (example using diff)
# Save airodump BSSID column to discovered.txt, authorized list to authorized.txt
diff <(sort discovered.txt) <(sort authorized.txt)

Qualquer BSSID presente em discovered.txt mas ausente em authorized.txt é um achado.

Detecção Baseada em Desautenticação (Se Autorizado)
#

Se a desautenticação estiver explicitamente no escopo, você pode usar o comportamento de reconexão de clientes para determinar se um AP não autorizado está conectado à rede interna: desautentica um cliente do AP suspeito e observa se ele se reassocia a um AP legítimo no mesmo SSID. Se o cliente fizer roaming normalmente, o AP não autorizado pode compartilhar o mesmo backend de rede. Se o cliente falhar ao se reconectar, o AP não autorizado provavelmente está isolado (cenário de evil twin).

Validação do WIDS
#

Se a organização possui um Sistema de Detecção/Prevenção de Intrusão Wireless (WIDS/WIPS) implantado, esta fase deve incluir um teste controlado para verificar se o WIDS detecta o AP de teste não autorizado dentro de uma janela de tempo aceitável. Implante um AP de teste com o SSID corporativo usando um endereço MAC fora do inventário e meça a latência de detecção. Uma janela de detecção superior a 60 segundos representa uma lacuna significativa de cobertura.


Fase 3: Análise de Handshake WPA2/WPA3
#

WPA2: Captura do Handshake de 4 Vias
#

A captura do handshake de 4 vias do WPA2 permite verificar offline se a passphrase da rede atende à política de complexidade de senha da organização. Isso não representa o endosso da quebra de passphrase como objetivo do engajamento — trata-se de uma verificação de conformidade: a hash capturada pode ser quebrada em tempo razoável por um adversário utilizando hardware comum?

# Target specific AP on channel 6 and write capture to file
sudo airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w handshake wlan0mon

# Convert captured .cap to hashcat format for offline audit
hcxpcapngtool -o hash.hc22000 handshake-01.cap

Submeta o hash .hc22000 resultante a um auditor de senhas offline contra a lista de palavras e conjunto de regras aprovados pela organização. Se a passphrase for recuperável contra listas de senhas comuns (rockyou, variações do nome da empresa, keyboard walks), relate como achado de severidade Média ou Alta, dependendo do nível de acesso à rede que o SSID fornece.

WPA3: SAE e Modo de Transição
#

O WPA3 utiliza SAE (Simultaneous Authentication of Equals — Autenticação Simultânea de Iguais), que oferece forward secrecy (sigilo de encaminhamento) e resistência a ataques de dicionário offline. Entretanto, muitas organizações implantam o WPA3 Transition Mode para manter compatibilidade com clientes WPA2 — este modo aceita tanto autenticação SAE quanto PSK. Teste se um invasor consegue forçar um cliente WPA3 a fazer downgrade para WPA2 apresentando um beacon WPA2-only para o mesmo SSID; um downgrade bem-sucedido é um achado de severidade Alta.

Para mais detalhes sobre testes específicos do WPA3, consulte nosso guia de testes de segurança WPA3.


Fase 4: Teste de PMF (Protected Management Frames)
#

Por que o PMF é Importante
#

O PMF 802.11w (Protected Management Frames — Frames de Gerenciamento Protegidos) previne ataques de desautenticação e disassociação. Sem PMF, um invasor pode enviar frames de deauth forjados para qualquer cliente, forçando a desconexão e possibilitando a captura de handshake, a coleta de credenciais via AP falso ou a simples negação de serviço. O PMF é obrigatório no WPA3 e opcional (mas fortemente recomendado) no WPA2.

Procedimento de Teste
#

Tente um ataque de desautenticação contra um cliente de teste associado a cada SSID sob avaliação. O resultado revela se o PMF está sendo aplicado:

# Attempt deauthentication flood against AP
sudo aireplay-ng --deauth 10 -a AA:BB:CC:DD:EE:FF wlan0mon

# If connected test client disconnects: PMF NOT enforced — reportable finding
# If test client remains connected: PMF enforced — pass

Sempre execute este teste contra equipamentos de teste designados, nunca contra clientes em produção.

Documentação do Status de PMF
#

Documente cada SSID com seu nível de aplicação de PMF:

SSIDCriptografiaStatus do PMFAchado
Corp-WiFiWPA2-EnterpriseSuportado (não obrigatório)Médio
Corp-WiFi-6EWPA3-EnterpriseObrigatórioAprovado
CorpGuestWPA2-PSKDesativadoAlto

PMF Desativado em qualquer SSID é, no mínimo, um achado de severidade Média. PMF Desativado em um SSID corporativo com acesso a recursos internos é Alto. Para detalhes completos sobre a metodologia de teste de PMF, consulte nosso guia de injeção de pacotes.


Fase 5: Teste de Isolamento de Clientes
#

Isolamento na Rede Guest
#

Os SSIDs guest devem aplicar isolamento de clientes — a impossibilidade de um cliente guest se comunicar diretamente com outro cliente guest. Sem isolamento, um ator malicioso na rede guest pode realizar envenenamento ARP, spoofing de LLMNR/NBT-NS ou ataques diretos contra outros usuários.

Procedimento de teste:

  1. Conecte dois dispositivos de teste dedicados (não dispositivos de usuário em produção) ao SSID guest
  2. Do Dispositivo A, tente um ping ICMP ao endereço IP do Dispositivo B
  3. Do Dispositivo A, tente um scan ARP da sub-rede guest

Um SSID guest que falha no isolamento de clientes (pings bem-sucedidos entre dispositivos de teste) é um achado de severidade Alta.

Isolamento Guest-para-Interno
#

Verifique se a rede guest não consegue acessar faixas da rede interna:

# From a test device on guest SSID, ARP scan the internal network range
sudo arp-scan -l --interface wlan0
# Zero responses from internal range = pass
# Any response from internal range = Critical finding

Adicionalmente, tente a resolução DNS de hostnames internos e conexões TCP diretas a interfaces de gerenciamento internas (SSH, painéis de administração HTTP). Qualquer conexão bem-sucedida do segmento guest para a infraestrutura interna é um achado Crítico.


Fase 6: Avaliação de EAP/RADIUS (SSIDs Corporativos)
#

Autenticação 802.1X e o Ataque de RADIUS Falso
#

O WPA2-Enterprise e o WPA3-Enterprise utilizam autenticação EAP via 802.1X, onde os clientes se autenticam em um servidor RADIUS. O controle de segurança crítico é a validação do certificado do servidor: cada cliente deve verificar o certificado do servidor RADIUS antes de submeter credenciais. Se os clientes não validarem o certificado, um invasor pode implantar um AP falso com um servidor RADIUS falso e coletar hashes NTLMv2 ou credenciais EAP.

Procedimento de Teste
#

Implante um AP falso usando hostapd-wpe configurado com o SSID corporativo. Isso cria um AP com suporte a 802.1X respaldado por um servidor RADIUS falso que registra todas as tentativas de autenticação:

# Install hostapd-wpe
sudo apt install hostapd-wpe

# Configure with the corporate SSID and appropriate channel
# Edit /etc/hostapd-wpe/hostapd-wpe.conf with target SSID/channel details
sudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf

# Monitor for captured credential hashes in the output

Achado Crítico: Se qualquer cliente (incluindo clientes de teste que já se conectaram anteriormente ao SSID 802.1X em produção) se conectar ao RADIUS falso sem exibir um aviso de certificado, ou se o usuário aceitar um aviso de certificado e as credenciais forem capturadas, trata-se de um achado Crítico. Indica que os clientes não estão aplicando certificate pinning (fixação de certificado) ou a validação adequada da cadeia de certificados.

Remediação: Implante certificate pinning via MDM (Mobile Device Management — Gerenciamento de Dispositivos Móveis) com perfis de configuração especificando o certificado exato do servidor RADIUS ou a CA emissora. Garanta que os usuários finais recebam treinamento de conscientização sobre como rejeitar avisos de certificado inesperados.


Referência de Ferramentas para Avaliação
#

As ferramentas a seguir cobrem o fluxo de trabalho completo de avaliação wireless corporativa. Todas são compatíveis com adaptadores ALFA Network em modo monitor. Para configuração do adaptador, consulte nosso guia sobre como ativar o modo monitor no Kali Linux.

FerramentaFinalidadeAdaptador RecomendadoComando Principal
airodump-ngVarredura passiva, captura de handshakeQualquer ALFA (AWUS036AXML / AWUS036ACH)sudo airodump-ng wlan0mon --band abg
hcxdumptoolCaptura de PMKID, coleta passiva de handshakeAWUS036AXML (Wi-Fi 6E)sudo hcxdumptool -i wlan0mon -o out.pcapng
hcxpcapngtoolConverter capturas para formato hashcatN/A (pós-processamento)hcxpcapngtool -o hash.hc22000 cap.pcapng
KismetRegistro contínuo, correlação SSID/clienteAWUS036ACHsudo kismet -c wlan0mon
aireplay-ngTeste de PMF, injeção de deauthAWUS036ACHsudo aireplay-ng --deauth 10 -a BSSID wlan0mon
hostapd-wpeAP falso / RADIUS falso para teste EAPAWUS036ACHsudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf
WiresharkAnálise de pacotes das capturasQualquer (via arquivo de captura)wireshark -r handshake-01.cap
arp-scanVerificação de isolamento guest/internoQualquersudo arp-scan -l --interface wlan0

Modelo de Relatório
#

Sumário Executivo
#

O sumário executivo deve ser legível por um CTO ou CISO sem conhecimento prévio em segurança wireless. Deve incluir:

  • Classificação geral de risco: Crítico / Alto / Médio / Baixo — derivada da severidade do achado confirmado mais grave
  • Contagem de achados principais por nível de severidade
  • Declaração de lacuna de conformidade: referência a quaisquer normas relevantes (PCI-DSS 4.0 Requisito 11.2, ISO/IEC 27001 A.13.1, NIST 800-153) e se o ambiente wireless avaliado atende a esses requisitos
  • Itens de ação imediata: achados que exigem remediação antes do próximo dia útil

Tabela de Achados
#

Todos os achados técnicos devem ser apresentados em uma tabela padronizada que mapeia cada achado para uma severidade, infraestrutura afetada e uma recomendação de remediação concreta:

IDSeveridadeAchadoSSID(s) Afetado(s)Recomendação
WL-01CríticoSSID guest sem isolamento de clientes; dispositivos de teste se comunicaram diretamenteCorpGuestAtivar isolamento de clientes AP no controlador WLAN; verificar via re-teste
WL-02CríticoClientes 802.1X conectam ao RADIUS falso sem aviso de certificadoCorp-WiFiImplantar certificate pinning via MDM; configurar âncora de confiança da CA do servidor RADIUS
WL-03AltoPMF desativado no SSID corporativo; ataque de deauth bem-sucedidoCorp-WiFiAtivar PMF Obrigatório em todos os SSIDs WPA2; migrar para WPA3 onde o hardware permitir
WL-04AltoAP não autorizado detectado com SSID corporativo em BSSID fora do inventárioCorp-WiFi-5GInvestigar AP físico; implantar alerta WIDS para BSSIDs desconhecidos
WL-05MédioPassphrase WPA2 recuperável de dicionário comum em menos de 4 horasCorp-IoTAplicar passphrase aleatória com 16+ caracteres; rotacionar trimestralmente
WL-06BaixoFabricante/modelo do AP identificável pelo OUI do beacon e probe responsesTodosConsiderar ofuscação de fingerprint do AP se o modelo de ameaça justificar

Definições de Severidade para Achados Wireless
#

SeveridadeDefiniçãoExemplo
CríticoCaminho imediato e explorável para captura de credenciais ou acesso à rede internaSSID com autenticação aberta, sem criptografia, violação guest-para-interno, RADIUS falso 802.1X bem-sucedido
AltoFalha de controle significativa que requer remediação imediataWPA2 com PMF Desativado, AP não autorizado confirmado na rede, downgrade WPA3 bem-sucedido
MédioLacuna de controle que aumenta o risco, mas requer condições adicionais para exploraçãoPolítica de passphrase fraca, WPA3 Transition Mode sem proteção contra downgrade
BaixoInformacional ou lacuna de defesa em profundidadeFingerprinting do modelo de AP, divulgação de informações do SSID

常見問題

O que inclui uma avaliação de segurança wireless empresarial?

Uma avaliação completa abrange seis fases sequenciais: reconhecimento passivo, detecção de APs rogue, análise de handshake WPA2/WPA3, verificação de PMF, teste de isolamento de clientes e avaliação EAP/RADIUS.

Quais autorizações são necessárias antes de realizar avaliação de segurança wireless?

E obrigatório obter autorização por escrita assinada pelo CISO ou proprietário do ativo, especificando claramente a janela de tempo de teste, endereços MAC dos equipamentos e técnicas especificas autorizadas. Consentimento verbal não é suficiente.

Como detectar APs rogue?

Compare a lista de BSSIDs obtida no reconhecimento passivo com a lista de APs autorizados. Qualquer BSSID que transmite o SSID da empresa mas não está na lista é um candidato a AP rogue.

Por que o PMF (Protected Management Frames) é importante?

O PMF previne ataques de deautenticação e desassociação, impedindo que atacantes forcem a desconexão de clientes para capturar handshakes ou executar negação de serviço. No WPA3, o PMF é obrigatório.

Quais os riscos do modo de transição WPA3?

O modo de transição WPA3 aceita tanto SAE quanto PSK para manter compatibilidade. Atacantes podem transmitir beacons apenas WPA2 para forçar o downgrade do cliente, invalidando a forward secrecy.

Recursos Relacionados
#

Referências
#

  1. Documentacao oficial do aircrack-ng
  2. Especificacao WPA3 da Wi-Fi Alliance
  3. Padrao IEEE 802.11w de Protected Management Frames
  4. NIST SP 800-153 Guia de Seguranca Wireless
  5. Ferramenta de deteccao wireless Kismet