Não existe segurança perfeita. Com conhecimento, recursos e tempo suficientes, qualquer sistema pode ser comprometido. O melhor que você pode fazer é tornar o mais difícil possível para um invasor. Dito isto, existem medidas que você pode tomar para proteger sua rede contra a grande maioria dos ataques.
As configurações padrão para o que chamo de roteadores de nível de consumidor oferecem segurança bastante básica. Para ser honesto, não é preciso muito para comprometê-los. Quando instalo um novo roteador (ou redefino um existente), raramente uso os 'assistentes de configuração'. Eu passo e configuro tudo exatamente como eu quero. A menos que haja uma boa razão, geralmente não a deixo como padrão.
Não posso dizer as configurações exatas que você precisa alterar. A página de administração de cada roteador é diferente; mesmo roteador do mesmo fabricante. Dependendo do roteador específico, pode haver configurações que você não pode alterar. Para muitas dessas configurações, você precisará acessar a seção de configuração avançada da página de administração.
Dica : você pode usar o aplicativo Android RouterCheck para testar a segurança do seu roteador.
Eu incluí capturas de tela de um Asus RT-AC66U. Está no estado padrão.
Atualize seu firmware. A maioria das pessoas atualiza o firmware quando instala o roteador pela primeira vez e o deixa em paz. Pesquisas recentes mostraram que 80% dos 25 modelos de roteadores sem fio mais vendidos têm vulnerabilidades de segurança. Os fabricantes afetados incluem: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet e outros. A maioria dos fabricantes lança firmware atualizado quando as vulnerabilidades são reveladas. Defina um lembrete no Outlook ou em qualquer sistema de e-mail usado. Eu recomendo verificar atualizações a cada 3 meses. Eu sei que isso parece um acéfalo, mas apenas instale o firmware no site do fabricante.
Além disso, desative a capacidade do roteador para verificar automaticamente se há atualizações. Não sou fã de deixar os dispositivos "telefonarem para casa". Você não tem controle sobre qual data é enviada. Por exemplo, você sabia que várias chamadas 'Smart TVs' enviam informações de volta ao fabricante? Eles enviam todos os seus hábitos de visualização toda vez que você muda de canal. Se você conectar uma unidade USB a eles, eles enviarão uma lista de todos os nomes de arquivos na unidade. Esses dados não são criptografados e são enviados mesmo que a configuração do menu esteja definida como NÃO.
Desative a administração remota. Entendo que algumas pessoas precisam reconfigurar sua rede remotamente. Se for necessário, ative pelo menos o acesso https e altere a porta padrão. Observe que isso inclui qualquer tipo de gerenciamento baseado em 'nuvem', como a conta Smart WiFi da Linksys e o AiCloud da Asus.
Use uma senha forte para o administrador do roteador. Disse o suficiente. As senhas padrão para roteadores são de conhecimento geral e você não quer que ninguém tente uma senha padrão e entre no roteador.
Habilite HTTPS para todas as conexões de administrador. Isso está desativado por padrão em muitos roteadores.
Restrinja o tráfego de entrada. Eu sei que isso é senso comum, mas às vezes as pessoas não entendem as consequências de certas configurações. Se você precisar usar o encaminhamento de porta, seja muito seletivo. Se possível, use uma porta não padrão para o serviço que você está configurando. Também existem configurações para filtrar o tráfego anônimo da Internet (sim) e para a resposta de ping (não).
Use a criptografia WPA2 para o WiFi. Nunca use WEP. Pode ser quebrado em poucos minutos com o software disponível gratuitamente na internet. WPA não é muito melhor.
Desative o WPS (WiFi Protected Setup) . Entendo a conveniência de usar o WPS, mas foi uma má idéia para começar.
Restrinja o tráfego de saída. Como mencionado acima, normalmente não gosto de dispositivos que ligam para casa. Se você possui esses tipos de dispositivos, considere bloquear todo o tráfego da Internet.
Desative serviços de rede não utilizados, especialmente uPnP. Há uma vulnerabilidade amplamente conhecida ao usar o serviço uPnP. Outros serviços provavelmente desnecessários: Telnet, FTP, SMB (compartilhamento de arquivos / samba), TFTP, IPv6
Saia da página de administração quando terminar . Apenas fechar a página da web sem fazer logout pode deixar uma sessão autenticada aberta no roteador.
Verifique a vulnerabilidade da porta 32764 . Que eu saiba, alguns roteadores produzidos pela Linksys (Cisco), Netgear e Diamond são afetados, mas pode haver outros. O firmware mais recente foi lançado, mas pode não corrigir totalmente o sistema.
Verifique seu roteador em: //www.grc.com/x/portprobe=32764
Ative o log . Procure atividades suspeitas em seus logs regularmente. A maioria dos roteadores tem a capacidade de enviar os logs para você em intervalos definidos. Verifique também se o relógio e o fuso horário estão definidos corretamente para que seus registros sejam precisos.
Para os verdadeiramente preocupados com a segurança (ou talvez apenas paranóicos), a seguir estão as etapas adicionais a serem consideradas
Mude o nome do usuário administrador . Todo mundo sabe que o padrão é geralmente admin.
Configure uma rede 'Convidado' . Muitos roteadores mais novos são capazes de criar redes de convidados sem fio separadas. Verifique se ele tem apenas acesso à Internet e não à sua LAN (intranet). Obviamente, use o mesmo método de criptografia (WPA2-Pessoal) com uma senha diferente.
Não conecte o armazenamento USB ao seu roteador . Isso habilita automaticamente muitos serviços no seu roteador e pode expor o conteúdo dessa unidade à Internet.
Use um provedor DNS alternativo . Provavelmente, você está usando as configurações de DNS fornecidas pelo seu provedor. O DNS tornou-se cada vez mais um alvo de ataques. Existem provedores de DNS que tomaram medidas adicionais para proteger seus servidores. Como um bônus adicional, outro provedor de DNS pode aumentar seu desempenho da Internet.
Altere o intervalo de endereços IP padrão na sua rede LAN (interna) . Todo roteador de nível de consumidor que eu vi usa 192.168.1.x ou 192.168.0.x, facilitando o script de um ataque automatizado.
Os intervalos disponíveis são:
Qualquer 10.xxx
Qualquer 192.168.xx
172.16.xx a 172.31.xx
Mude o endereço LAN padrão do roteador . Se alguém obtiver acesso à sua LAN, saberá que o endereço IP do roteador é xxx1 ou xxx254; não facilite para eles.
Desabilite ou restrinja o DHCP . Desativar o DHCP geralmente não é prático, a menos que você esteja em um ambiente de rede muito estático. Prefiro restringir o DHCP a 10-20 endereços IP a partir de xxx101; isso facilita o rastreamento do que está acontecendo na sua rede. Prefiro colocar meus dispositivos 'permanentes' (desktops, impressoras, NAS etc.) em endereços IP estáticos. Dessa forma, apenas laptops, tablets, telefones e convidados estão usando DHCP.
Desative o acesso de administrador da rede sem fio . Essa funcionalidade não está disponível em todos os roteadores domésticos.
Desativar transmissão SSID . Isso não é difícil de ser superado por um profissional e pode dificultar a entrada de visitantes em sua rede Wi-Fi.
Use a filtragem MAC . O mesmo que acima; inconveniente para os visitantes.
Alguns desses itens se enquadram na categoria 'Segurança por obscuridade', e há muitos profissionais de TI e segurança que zombam deles, dizendo que não são medidas de segurança. De certa forma, eles estão absolutamente corretos. No entanto, se existem etapas que você pode tomar para dificultar o comprometimento da sua rede, acho que vale a pena considerar.
Uma boa segurança não é 'configure e esqueça'. Todos nós já ouvimos falar das muitas violações de segurança em algumas das maiores empresas. Para mim, a parte realmente irritante é quando você aqui esteve comprometido por 3, 6, 12 meses ou mais antes de ser descoberto.
Aproveite o tempo para examinar seus logs. Examine sua rede procurando dispositivos e conexões inesperados.
Abaixo está uma referência autorizada:
- US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
