14 Ferramentas para proteger você e seu roteador contra Segurança de Rede Invasiva

Por que confiar em nós

Sabe aquele dispositivo conectado à tomada principal da banda larga? Ele tem a chave Wi-Fi impressa e você o reinicia quando a banda larga acaba? Pois bem. Estamos falando do seu roteador. Assim, nada mais importante do que estar conectado a um roteador seguro.

O roteador é o dispositivo eletrônico mais importante da sua casa, controlando o que pode entrar e sair da sua rede doméstica.

Ele é o guardião entre o ambiente de sua rede interna, que é um refúgio seguro, e muitas vezes é negligenciado e extremamente inseguro.

Seu humilde roteador doméstico

Infelizmente, a maioria dos roteadores fornecidos pelos provedores de serviços de Internet (ISPs) como parte do seu contrato é projetada e provisionada com foco no orçamento, não na eficácia e na segurança. Mesmo os dispositivos que podem fazer um trabalho decente provavelmente têm configurações padrão inseguras ou até mesmo portas traseiras de serviço e firmware com bugs.

Todos os roteadores modernos incluem a funcionalidade de firewall. A facilidade com que o usuário tem acesso ao firewall e altera as configurações varia de fabricante para fabricante. Em alguns casos, o usuário não consegue nem mesmo ver as configurações do firewall – afinal, elas são fornecidas em caixa preta, configuradas em um formato único para todos.

Aqueles que permitem alterações na configuração, raramente informam aos usuários finais que isso é possível. Mesmo nos raros casos em que o usuário é informado sobre como acessar as configurações do firewall, os usuários domésticos raramente tiram proveito disso.

Se a Internet não regulamentada é o Velho Oeste, seu firewall é o xerife, ele deve estar devidamente equipado e capacitado para desempenhar sua função corretamente. Caso contrário, qualquer pessoa ou coisa pode entrar em sua rede.

E isso pode incluir seu empregador.

Leia as letras pequenas

Muitas organizações incluem uma seção nos contratos de trabalho, na Política de Uso Aceitável ou na Política de Segurança de TI informando que se reservam o direito de verificar qualquer coisa que esteja conectada à rede corporativa. Isso parece bastante justo. A rede é deles e eles precisam mantê-la segura. É claro que eles verificarão o que se conecta a ela.

Porém, com a mudança generalizada para o trabalho em casa impulsionada pela pandemia da COVID-19, muitos funcionários estão se conectando à rede corporativa a partir de suas redes domésticas. Assim, as organizações usam software de varredura de portas e software de teste de penetração para sondar sua rede, procurando vulnerabilidades exatamente como fazem os agentes de ameaças.

É claro que, se seus empregadores detectarem vulnerabilidades em seu roteador e rede domésticos, eles não o infectarão com ransomware. Mas saber que alguém está testando as defesas do seu roteador – o equivalente digital a chacoalhar as portas, experimentar as janelas e procurar a chave debaixo do tapete – ainda pode deixá-lo desconfortável e ressentido.

A primeira pergunta que você provavelmente fará é: eles têm permissão para fazer isso? Se isso estiver escrito em uma política ou em um documento contratual pelo qual você é regido, e se você tiver sido apresentado à política relevante durante a sua admissão e sempre que ela for alterada e reeditada, então sim, eles podem. Sem essa declaração, então não, eles não podem. É ilegal realizar varredura de portas e testes de penetração na rede de qualquer pessoa sem o consentimento prévio dela, mesmo que suas intenções sejam boas.

É por isso que dizemos para ler as letras pequenas. Essa declaração pode estar escondida em um documento de política que se aplica a você. Mas, mesmo que sua organização possa fazer isso, seria educado e respeitoso que ela o alertasse primeiro.

Não é difícil elaborar um breve comunicado explicando que uma varredura remota benigna será realizada nas redes dos trabalhadores em casa para garantir que elas sejam seguras o suficiente para se conectarem à rede corporativa. E isso faz uma enorme diferença para o moral da equipe. Mas, infelizmente, essa explicação muitas vezes não é feita.

Como tornar seu roteador mais seguro

Independentemente de quem está tentando entrar, o que você pode fazer para fortalecer suas defesas e tornar seu roteador o mais seguro possível?

Bom, depende do fabricante e do modelo do seu roteador, mas deve haver pelo menos algo nesta lista que possa te ajudar.

A interface administrativa, os menus e as configurações variam de marca para marca e de modelo para modelo, portanto, não podemos fornecer um guia passo a passo.

Contudo, encontrar as configurações apropriadas no seu roteador para os itens da nossa lista não deve ser muito complicado, se você tiver permissão para acessá-las. Se o seu ISP bloqueou o dispositivo e o impediu de acessar as configurações críticas, consulte o item 1.

1. O roteador do seu provedor de Internet é ruim?

Em geral, os roteadores fornecidos pelo ISP são menos seguros do que aqueles que são vendidos – muitas vezes pelos mesmos fabricantes – diretamente aos consumidores. Portas traseiras codificadas são comuns, e os patches de segurança e as atualizações de firmware costumam aparecer muito mais tarde do que as correções e os patches dos modelos diretos ao consumidor. Isso ocorre porque o firmware dos roteadores fornecidos pelo ISP é personalizado para esse ISP, e eles precisam de patches personalizados.

Nada o impede de comprar seu próprio roteador e usá-lo em seu lugar. Mantenha o roteador que seu ISP lhe enviou e use-o como reserva. Se você tiver um problema com sua banda larga e estiver se perguntando se é um problema com o roteador ou um problema na infraestrutura externa de banda larga, poderá instalar o roteador do ISP e ver se o problema desaparece. Se isso acontecer, o problema é com seu roteador; se não acontecer, o problema é externo.

2. Alterar a senha padrão do administrador

Como muitos roteadores saem de fábrica com senhas de administrador padrão, essa é uma porta aberta para os agentes de ameaças. O software de varredura deles tentará identificar a marca e o modelo do roteador, examinando os metadados nas respostas do roteador às sondagens, e procurará as credenciais padrão do administrador.

Na primeira vez que você conectar o roteador para configurá-lo, altere a senha do administrador para uma senha segura e robusta. Ou, melhor ainda, para uma frase secreta, como três palavras ligadas por pontuação. E, enquanto estiver fazendo isso, certifique-se de que a interface da Web do administrador não esteja acessível pela Internet. Você não fará a administração remota do roteador, portanto, não dê essa chance a ninguém.

3. Use um roteador seguro compatível com VPN

Se você realmente precisa ter acesso remoto ao roteador, use um roteador que ofereça suporte a conexões de rede privada virtual (VPN). Restrinja as conexões VPN àquelas que estão em uma lista de endereços IP aprovados ou a um intervalo de endereços IP. Portanto, se você sabe que pode precisar de uma VPN no roteador a partir do seu escritório, adicione seu escritório aos endereços IP da lista de permissões.

4. Fique anônimo mesmo em casa

Mesmo ao se conectar ao roteador seguro de dentro da sua rede, é uma boa prática usar a navegação anônima, o modo incógnito ou qualquer outro nome que o seu navegador use para navegação anônima. Dessa forma, o navegador não armazenará em cache nenhuma credencial ou endereço IP que outras pessoas possam usar em seu computador para acessar o roteador.

Nunca permita que o navegador se lembre das credenciais do roteador. Cabe a você lembrá-las e inseri-las todas as vezes. Ou use um gerenciador de senhas protegido por senha.

5. Aceitar apenas conexões de um endereço IP específico

É possível vincular alguns roteadores para que aceitem conexões de administrador de um único endereço IP local e rejeitem conexões de qualquer outro lugar. Se você for fazer isso, use um endereço IP que não faça parte do pool do DHCP (Dynamic Host Configuration Protocol). Se o seu computador perder o endereço IP, fizer o lease e receber um novo endereço IP – pelo seu roteador! – você não conseguirá acessar o roteador seguro.

6. Use uma senha de Wi-Fi robusta

Escolha uma senha Wi-Fi robusta e use a configuração de criptografia mais forte do seu dispositivo. Os roteadores mais novos podem oferecer suporte ao Wi-Fi Protected Access 3 (WPA3), mas a maioria estará limitada ao Wi-Fi Protected Access 2 (WPA2).

7. Desativar o WPS

Desative o Wi-Fi Protected Setup (WPS). A premissa do WPS era simplificar a configuração do Wi-Fi e a conexão a redes Wi-Fi para usuários não técnicos. Ele raramente é usado e apresenta uma vulnerabilidade que permite que os agentes de ameaças comprometam as redes Wi-Fi.

Patches e correções foram lançados, mas nem todos os modelos foram corrigidos e nem todos os fabricantes responderam ao problema. É mais seguro desativá-lo e usar uma conexão com fio para a configuração.

8. Desative os serviços que você não usa

Os roteadores são compatíveis com todos os tipos de protocolos e tipos de conexão. É quase certo que você não precisa deles, portanto, desligue-os. Quanto menos portas e janelas um prédio tiver, mais difícil será para um ladrão entrar. O mesmo acontece com seu roteador. Feche todas as portas e abra apenas as que você usa. Quanto menos tipos de conexão ele aceitar, mais seguro você estará.

Você pode desativar serviços como Ping, Telnet, Universal Plug and Play (UPnP), Secure Shell (SSH) e Home Network Administration Protocol (HNAP).

9. Não use o gerenciamento de roteador baseado em nuvem

Se o seu roteador for compatível com isso, desative-o. Você não quer que o roteador se comunique com a nuvem do fabricante. Isso coloca outra camada entre você e o roteador, na qual você precisa confiar. Você administrará seu roteador seguro localmente, portanto, desative essa opção.

10. Faça patches em seu roteador seguro regularmente

Você está acostumado a receber atualizações para o seu computador, e o seu smartphone recebe patches e correções à medida que as vulnerabilidades são detectadas e resolvidas. O mesmo processo acontece com seu roteador. É um processo manual na maioria dos roteadores, mas alguns podem ser configurados para “telefonar para casa” periodicamente e verificar se há atualizações.

Se for fazer atualizações manuais, verifique a página da Web de suporte do fabricante do seu roteador. Provavelmente, uma vez por mês é suficiente.

11. Controle de acesso Wi-Fi

Muitos roteadores permitem configurar uma lista de identidades de dispositivos denominada endereços MAC (Media Access Control). Esses endereços são exclusivos de cada dispositivo conectado à rede. Isso significa que somente dispositivos reconhecidos e autorizados podem se conectar ao seu Wi-Fi.

Configure um Wi-Fi para visitantes se o roteador permitir. Isso dá aos visitantes acesso Wi-Fi à Internet sem revelar ou expor qualquer outro dispositivo em sua rede.

12. Segmentar sua rede

Alguns roteadores de nível de consumidor têm a capacidade de configurar redes locais virtuais (VLANs) dentro de outras redes. Por exemplo, você pode isolar os dispositivos da Internet das Coisas (IoT) do restante da sua rede.

Os dispositivos de IoT são notoriamente inseguros. Muitos deles violam as medidas de segurança mais básicas, como expor-se à Internet com protocolos desprotegidos e senhas de administrador imutáveis. Mantê-los segregados em sua própria VLAN é uma ótima maneira de contê-los.

13. Alterar suas configurações de DNS

Altere as configurações do sistema de nomes de domínio para que não usem os valores padrão fornecidos pelo seu ISP.

Serviços respeitados que você pode usar são:

  • OpenDNS: 208.67.220.220 ou 208.67.222.222
    Google DNS:
    8.8.8.8 ou 8.8.4.4
    Cloudflare:
    1.1.1.1 ou 1.0.0.1

14. Considere a possibilidade de personalizar o firmware do seu roteador

Os usuários avançados podem considerar a possibilidade de eliminar completamente o firmware do fabricante e substituí-lo por uma alternativa gratuita e de código aberto. Normalmente, essas alternativas são baseadas em distribuições Linux ou Berkeley Software Distribution (BSD). Eles podem ser mais seguros, com recursos completos e configuráveis do que o firmware padrão do fabricante, geralmente com suporte nativo a protocolos VPN.

Duas das ofertas mais conhecidas são o OpenWRT e o DD-WRT, mas há muitas alternativas disponíveis. Esses projetos com suporte da comunidade geralmente superam os fabricantes na liberação de patches e correções.

Vamos ser claros. A “atualização” do firmware requer conhecimento técnico para ser feita corretamente. Se você fizer isso em um roteador dentro do ciclo de suporte, a garantia será anulada. E, se o pior acontecer, você “bloqueará” o dispositivo, tornando-o totalmente inoperante. Certifique-se de que sabe o que está fazendo antes de prosseguir ou procurar assistência técnica.

Resultado final

Seu roteador seguro é o ponto de conexão entre você e o mundo externo – a atenção nessa área é fundamental para a segurança na Web!

Dependendo das suas necessidades de rede e conectividade, da marca do roteador, da flexibilidade das configurações do roteador e do firewall e do seu nível de conforto técnico, aplique o máximo possível dessas etapas e proteja sua casa contra ataques digitais.

E dos bisbilhoteiros de seus empregadores!

Marshall Gunnell
IT and Cyber ​​Security Specialist
Marshall Gunnell
Especialista em TI e Segurança cibernética

Marshall, natural do Mississippi, é um especialista dedicado em TI e segurança cibernética com mais de uma década de experiência. Junto com a Techopedia, seus artigos podem ser encontrados em Business Insider, PCWorld, VGKAMI, How-To Geek, and Zapier. Seus artigos alcançaram um público massivo de mais de 100 milhões de pessoas. Marshall atuou anteriormente como Chief Marketing Officer (CMO) e redator técnico da StorageReview, fornecendo cobertura de notícias abrangente e análises detalhadas de produtos em matrizes de armazenamento, discos rígidos, SSDs e muito mais. Ele também desenvolveu estratégias de vendas com base em pesquisas de mercado regionais e globais para…