Como Impedir que o Airodump-ng Escaneie sua Rede: Auditoria e Segurança

O Airodump-ng é uma ferramenta de captura de pacotes raw 802.11 que opera em modo monitor, permitindo que um auditor ou atacante intercepte frames de gerenciamento e dados sem a necessidade de estar autenticado na rede. Diferente do modo gerenciado convencional, o modo monitor desativa a filtragem de hardware do adaptador wireless, capturando todo o tráfego eletromagnético no canal especificado.

O funcionamento da ferramenta baseia-se na escuta de beacons, que são pacotes enviados periodicamente pelo Access Point (AP) para anunciar a presença da rede, revelando informações como SSID, BSSID e a cifra de criptografia. Uma vez identificado o alvo, o operador pode focar a captura em um canal específico para interceptar o handshake WPA/WPA2, essencial para ataques de quebra de senha offline.

A interceptação do handshake ocorre quando um cliente se autentica no AP, permitindo que o atacante capture a troca de chaves necessária para derivar a senha via força bruta ou dicionário. Para mitigar a eficácia dessas ferramentas, é imperativo compreender a superfície de ataque da camada física e de enlace do modelo OSI.

Audit & Secure Microsoft 365 Fast with Maester (Free, 280+ Tests)

How to Prepare for an ISO 27001:2022 Audit | ISMS Scope and Audit Stages Explained

Enabling audit logs and developing threat detections | Monitor and detect cyberthreats

Stop Guessing! How to Audit and Secure Windows 11 in 5 Minutes (Microsoft SCT Guide)

A Anatomia do Escaneamento Wireless

Para defender uma rede, é preciso entender a saída de dados do Airodump-ng. A ferramenta organiza as informações em duas seções: a superior, que lista os Access Points (BSSID, potência de sinal, canal e criptografia), e a inferior, que mapeia as estações (STATION) ou dispositivos conectados a cada AP.

O risco técnico reside na capacidade de packet injection, onde o atacante não apenas escuta, mas envia frames forjados. Um exemplo comum é o ataque de desautenticação (deauth), que força a desconexão de um cliente legítimo para que ele realize a reconexão automática, gerando o handshake necessário para a captura.

Vulnerabilidades em WPA2-PSK

O protocolo WPA2, embora amplamente utilizado, é vulnerável a ataques de dicionário se a senha for fraca. Como o Airodump-ng captura o hash do handshake, o processo de cracking ocorre localmente na máquina do atacante, tornando a detecção via IDS de rede tradicional impossível, já que não há tráfego malicioso fluindo através do roteador.

Estratégias de Mitigação e Endurecimento (Hardening)

Impedir completamente que um adaptador em modo monitor “ouça” o rádio é fisicamente impossível, pois as ondas de rádio se propagam pelo ar. No entanto, é possível neutralizar a utilidade dos dados capturados e dificultar a execução de ataques ativos.

Migração para WPA3 e SAE

A implementação do WPA3 é a defesa mais robusta contra a captura de handshakes. O WPA3 substitui o PSK pelo SAE (Simultaneous Authentication of Equals), que utiliza um protocolo de troca de chaves resistente a ataques de dicionário offline, tornando a captura de pacotes via Airodump-ng inútil para a quebra de senha.

Proteção de Frames de Gerenciamento (802.11w)

Para evitar que o atacante force a captura de handshakes através de ataques de desautenticação, deve-se habilitar o padrão 802.11w (Management Frame Protection). Esta norma criptografa os frames de gerenciamento, impedindo que pacotes de desautenticação forjados sejam aceitos pelos clientes e pelo AP.

Ocultação de SSID e Limitações

Desativar a transmissão do SSID (Hidden SSID) remove o nome da rede dos beacons, mas não oculta o BSSID nem a presença da rede para o Airodump-ng. Um atacante experiente pode descobrir o SSID oculto simplesmente observando os frames de “Probe Request” enviados por clientes que já conhecem a rede.

Auditoria de Segurança Wireless

A melhor forma de garantir a segurança é realizar auditorias periódicas utilizando as mesmas ferramentas que os atacantes. Verificar se a rede é visível, se o sinal vaza excessivamente para fora do perímetro físico da empresa e se a criptografia está atualizada são passos fundamentais.

A implementação de um WIPS (Wireless Intrusion Prevention System) pode alertar administradores sobre a presença de adaptadores em modo monitor ou a detecção de frames de desautenticação anômalos, permitindo uma resposta rápida a incidentes de segurança no espectro RF.

FAQ

É possível bloquear o Airodump-ng de escanear minha rede?

Não totalmente. Como o Airodump-ng é uma ferramenta passiva que apenas “ouve” as ondas de rádio, não há como impedir que o hardware do atacante capture os pacotes que seu roteador transmite para o ar.

O WPA3 resolve o problema de captura de pacotes?

O WPA3 não impede a captura dos pacotes, mas impede que esses pacotes sejam usados para descobrir a senha da rede através de ataques de dicionário offline, graças ao protocolo SAE.

Ocultar o SSID torna a rede invisível para o Airodump-ng?

Não. O Airodump-ng continuará exibindo o BSSID (endereço MAC do roteador) e a força do sinal. O SSID aparecerá assim que um dispositivo legítimo se conectar à rede.

O que é o ataque de desautenticação mencionado?

É um ataque ativo onde o invasor envia um pacote forjado fingindo ser o roteador, ordenando que o cliente se desconecte. Isso é feito para forçar o cliente a reconectar e, assim, permitir a captura do handshake.