Proteja seu roteador sem fio
- Categoria: Rede
Não existe segurança perfeita. Com conhecimento, recursos e tempo suficientes, qualquer sistema pode ser comprometido. O melhor que você pode fazer é dificultar o máximo possível para um invasor. Dito isso, existem etapas que você pode seguir para proteger sua rede contra a grande maioria dos ataques.
As configurações padrão para o que chamo de roteadores de nível de consumidor oferecem segurança bastante básica. Para ser honesto, não é preciso muito para comprometê-los. Quando instalo um novo roteador (ou redefino um existente), raramente uso os ‘assistentes de configuração’. Eu procuro e configuro tudo exatamente como quero. A menos que haja um bom motivo, geralmente não o deixo como padrão.
Não posso dizer as configurações exatas que você precisa alterar. A página de administração de cada roteador é diferente; até mesmo roteador do mesmo fabricante. Dependendo do roteador específico, pode haver configurações que você não pode alterar. Para muitas dessas configurações, você precisará acessar a seção de configuração avançada da página de administração.
Dica : você pode usar o Aplicativo Android RouterCheck para testar a segurança do seu roteador .
Eu incluí imagens de um Asus RT-AC66U. Ele está no estado padrão.
Atualize seu firmware. A maioria das pessoas atualiza o firmware quando instala o roteador pela primeira vez e depois o deixa sozinho. Uma pesquisa recente mostrou que 80% dos 25 modelos de roteadores sem fio mais vendidos têm vulnerabilidades de segurança. Os fabricantes afetados incluem: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet e outros. A maioria dos fabricantes lança firmware atualizado quando vulnerabilidades são reveladas. Defina um lembrete no Outlook ou em qualquer sistema de e-mail que você usa. Eu recomendo verificar se há atualizações a cada 3 meses. Eu sei que isso parece um acéfalo, mas apenas instale o firmware do site do fabricante.
Além disso, desative a capacidade do roteador de verificar automaticamente se há atualizações. Eu não sou fã de deixar os dispositivos 'telefonarem para casa'. Você não tem controle sobre a data de envio. Por exemplo, você sabia que várias das chamadas ‘Smart TVs’ enviam informações de volta ao fabricante? Eles enviam todos os seus hábitos de visualização sempre que você muda de canal. Se você conectar uma unidade USB a eles, eles enviarão uma lista de todos os nomes de arquivos da unidade. Esses dados não são criptografados e são enviados mesmo se a configuração do menu estiver definida como NÃO.
Desative a administração remota. Eu entendo que algumas pessoas precisam ser capazes de reconfigurar sua rede remotamente. Se for necessário, pelo menos habilite o acesso https e altere a porta padrão. Observe que isso inclui qualquer tipo de gerenciamento baseado em 'nuvem', como Conta Smart WiFi da Linksys e AiCloud da Asus.
Use uma senha forte para administrador do roteador. Disse o suficiente. Senhas padrão para roteadores são de conhecimento comum e você não quer que ninguém apenas tente uma passagem padrão e entre no roteador.
Habilitar HTTPS para todas as conexões de administrador. Isso é desabilitado por padrão em muitos roteadores.
Restrinja o tráfego de entrada. Eu sei que isso é senso comum, mas às vezes as pessoas não entendem as consequências de certas configurações. Se você deve usar o encaminhamento de porta, seja muito seletivo. Se possível, use uma porta não padrão para o serviço que você está configurando. Também há configurações para filtrar o tráfego anônimo da Internet (sim) e para resposta de ping (não).
Use criptografia WPA2 para o WiFi. Nunca use WEP. Ele pode ser quebrado em minutos com software disponível gratuitamente na Internet. WPA não é muito melhor.
Desligue WPS (WiFi Protected Setup) . Eu entendo a conveniência de usar WPS, mas foi uma má ideia começar.
Restrinja o tráfego de saída. Como mencionado acima, normalmente não gosto de dispositivos que ligam para casa. Se você tiver esses tipos de dispositivos, considere bloquear todo o tráfego da Internet deles.
Desative serviços de rede não utilizados, especialmente UPnP. Existe uma vulnerabilidade amplamente conhecida ao usar o serviço uPnP. Outros serviços provavelmente desnecessários: Telnet, FTP, SMB (Samba / compartilhamento de arquivos), TFTP, IPv6
Saia da página de administração quando terminar . Apenas fechar a página da web sem fazer logout pode deixar uma sessão autenticada aberta no roteador.
Verifique a vulnerabilidade da porta 32764 . Até onde sei, alguns roteadores produzidos pela Linksys (Cisco), Netgear e Diamond foram afetados, mas pode haver outros. Um firmware mais recente foi lançado, mas pode não corrigir totalmente o sistema.
Verifique seu roteador em: https://www.grc.com/x/portprobe=32764
Ligue o registro . Procure atividades suspeitas em seus registros regularmente. A maioria dos roteadores tem a capacidade de enviar os logs para você em intervalos definidos. Além disso, certifique-se de que o relógio e o fuso horário estejam definidos corretamente para que seus registros sejam precisos.
Para quem está realmente preocupado com a segurança (ou talvez apenas paranóico), a seguir estão as etapas adicionais a serem consideradas
Alterar o nome de usuário admin . Todos sabem que o padrão geralmente é admin.
Configure uma rede ‘Convidado’ . Muitos roteadores mais novos são capazes de criar redes de convidados sem fio separadas. Certifique-se de que ele tenha acesso apenas à Internet e não à sua LAN (intranet). Obviamente, use o mesmo método de criptografia (WPA2-Personal) com uma senha diferente.
Não conecte o armazenamento USB ao seu roteador . Isso ativa automaticamente muitos serviços em seu roteador e pode expor o conteúdo dessa unidade à Internet.
Use um provedor de DNS alternativo . Provavelmente, você está usando as configurações DNS fornecidas pelo seu ISP. O DNS tem se tornado cada vez mais um alvo de ataques. Existem provedores de DNS que tomaram medidas adicionais para proteger seus servidores. Como um bônus adicional, outro provedor de DNS pode aumentar seu desempenho na Internet.
Altere o intervalo de endereços IP padrão em sua rede LAN (interna) . Cada roteador de consumidor que eu vi usa 192.168.1.x ou 192.168.0.x tornando mais fácil criar um script para um ataque automatizado.
Os intervalos disponíveis são:
Qualquer 10.x.x.x
Qualquer 192.168.x.x
172.16.x.x a 172.31.x.x
Altere o endereço LAN padrão do roteador . Se alguém obtiver acesso à sua LAN, saberá que o endereço IP do roteador é x.x.x.1 ou x.x.x.254; não facilite para eles.
Desative ou restrinja o DHCP . Desligar o DHCP geralmente não é prático, a menos que você esteja em um ambiente de rede muito estático. Eu prefiro restringir o DHCP a 10-20 endereços IP começando em x.x.x.101; isso torna mais fácil acompanhar o que está acontecendo em sua rede. Prefiro colocar meus dispositivos 'permanentes' (desktops, impressoras, NAS, etc.) em endereços IP estáticos. Dessa forma, apenas laptops, tablets, telefones e convidados usam DHCP.
Desative o acesso de administrador sem fio . Essa funcionalidade não está disponível em todos os roteadores domésticos.
Desativar transmissão SSID . Isso não é difícil para um profissional superar e pode ser difícil permitir que visitantes em sua rede sem fio.
Use a filtragem MAC . O mesmo que acima; inconveniente para os visitantes.
Alguns desses itens se enquadram na categoria de ‘Segurança por disfarce’, e muitos profissionais de TI e segurança zombam deles, dizendo que não são medidas de segurança. De certa forma, eles estão absolutamente corretos. No entanto, se houver etapas que você pode seguir para dificultar o comprometimento de sua rede, acho que vale a pena considerar.
Uma boa segurança não é ‘configurar e esquecer’. Todos nós já ouvimos sobre as muitas violações de segurança em algumas das maiores empresas. Para mim, a parte realmente irritante é quando você aqui eles ficaram comprometidos por 3, 6, 12 meses ou mais antes de ser descoberto.
Reserve um tempo para examinar seus registros. Faça uma varredura em sua rede em busca de dispositivos e conexões inesperadas.
Abaixo está uma referência oficial: