Roteador Wi-Fi: 13 dicas importantes de segurança

Alguns usuários preocupam-se com a segurança dos seus dispositivos e do uso que fazem deles, mas esquecem-se de um elo importante – e frágil – na infraestrutura que utilizam e que muitas vezes é a porta de entrada para as mais diferentes ameaças digitais – o roteador Wi-Fi.

Sim, esse aparentemente inofensivo, mas fundamental componente de toda rede sem fio e que está presente nas nossas casas, nas empresas e nos pontos de acesso disponíveis, pode ter falhas próprias e de configuração, as quais podem por a perder tudo o que você faça para manter-se seguro no mundo digital.

Por isso, hoje vamos falar dos riscos mais comuns e quais medidas adotar para, senão estar 100% seguro, reduzir ao máximo possível as probabilidades de dores de cabeça associadas.

Por que é importante a segurança do roteador?

A preocupação com a segurança do roteador deve ter o mesmo nível da que você tem com o seu notebook ou smartphone, uma vez que ele é atualmente o principal meio de acesso à Internet usado pela grande maioria das pessoas e tal como o dispositivo que você usa para acesso, também está sujeito a vulnerabilidades que podem ser exploradas por criminosos virtuais.

O grande problema e que poucas pessoas se dão conta, é que o roteador de rede Wi-Fi é a primeira e mais aparente parte da sua rede sem fio doméstica ou empresarial. Hoje, em qualquer lugar em que você esteja, é possível visualizar no seu smartphone ou notebook, uma lista razoavelmente extensa de sinais dessas redes e a porta de entrada para todas elas, é um roteador.

Cabe ao aparelho a tarefa de trafegar todos os dados que você envia e recebe da Internet. O seu acesso ao site do banco, as redes sociais, os sistemas e/ou a Intranet da empresa, os sites de e-commerce, sua conta de e-mail profissional ou pessoal e o que mais conseguir se lembrar.

Enfim, tudo passa pelo roteador, sempre que você está conectado a um. E quem não está?

Sabendo disso e que um grande número de aparelhos não conta com ferramentas de segurança integradas, ou quando as tem, muitas vezes não estão devidamente configuradas ou nem mesmo estão habilitadas, os hackers – na verdade crackers – têm uma via de acesso fácil.

Empresas especializadas em segurança digital, frequentemente identificam e tornam públicas vulnerabilidades associadas, como foi o famoso caso em 2018 que o Grupo de Inteligência Talos, da Cisco, identificou um malware especializado a infectar hardware de rede, incluindo roteadores – o VPNFilter.

Segundo estudos da Talos, o VPNFilter comprometeu mais 500 mil aparelhos ao redor do mundo.

Como pôde-se ver no caso em questão e em muitos outros semelhantes, mesmo algumas das marcas tidas como as melhores e as mais populares do mercado, como D-Link, TP-Link, Linksys, Netgear e Huawei, têm produtos na lista dos afetados por graves falhas de segurança.

Ou seja, não são apenas aqueles que adquirem um “Xing-Ling” baratinho naquele popular site de compras da China, que correm risco.

Mesmo para aqueles que acreditam que não têm muito para esconder ou preocupar-se em termos de navegação e segurança nos acessos à World Wide Web, proliferam os tutoriais e apps de como “roubar” o sinal de Wi-Fi do vizinho. Há até uma lista apreciável de apps que se propõem a descobrir senhas do wireless e até os que prometem acesso sem nem ser necessária senha alguma.

Em outras palavras, você paga para que um ou mais vizinhos, usem seu sinal e consumam parte da sua banda, diminuindo o desempenho / velocidade da sua Internet.

A lista de outras consequências decorrentes de um roteador indevidamente configurado, pode incluir o acesso a dispositivos da Internet das Coisas (IoT) que você tenha conectados a ele, como uma câmera web (webcam), uma babá eletrônica, ou ainda o sistema de segurança da empresa ou o storage de compartilhamento de arquivos (NAS).

Se não ficou claro até este ponto, TUDO o que está conectado à rede, mesmo por meio físico (por cabo), pode ser acessado por terceiros usando um roteador Wi-Fi que esteja desprotegido!

13 dicas para melhorar a segurança da rede Wi-Fi

Antes de prosseguirmos, é importante destacar alguns pontos:

  • Em segurança digital, nada pode ser considerado como 100% seguro. Ou seja, nenhuma das dicas que apresentaremos, isoladamente ou em conjunto, garantirão 100% a integridade da rede. O objetivo é melhorar os índices de segurança;

  • O fator humano costuma sempre ser indicado como o elo mais frágil em toda política de segurança. Assim, um usuário que desconheça e descuide das melhores práticas, pode vulnerabilizar a rede, se por exemplo, ele realiza o acesso a ela a partir de um dispositivo infectado com um malware;

  • Os recursos de segurança dos roteadores variam de acordo com o modelo e o fabricante, o que significa dizer que alguns que apresentaremos, podem não estar disponíveis e o método de habilitação / configuração e até mesmo o nome dado por parte do fabricante, pode variar;

  • Em função do tópico acima e somado ao fato de que muitos usuários não dispõem do conhecimento técnico que eventualmente se faz necessário, em caso de dúvida, recorra a assessoria de algum profissional conhecido e de confiança, que atue na área;

  • As demais preocupações e cuidados que são indicados para garantir a segurança no mundo digital, como os acessos à Wi-Fi públicos, continuam sendo fundamentais. A eventual sensação de segurança por ter uma solução antivírus instalada no seu dispositivo, o acesso somente a sites e serviços tido como confiáveis, não bastam. Lembre-se que até grandes empresas estão sujeitas à problemas do tipo, como vazamento de dados;

  • Quanto mais dicas puder adotar, melhor será a segurança da sua rede sem fio;

  • Se notar qualquer comportamento anormal ou suspeito e não souber como proceder, desconecte-se da rede, desabilite a conexão Wi-Fi do dispositivo e solicite suporte de um profissional especializado.

1. Atualização de Firmware

Simplificadamente, pode-se dizer que o firmware é o sistema operacional do roteador. Ele contém os recursos e instruções para seu correto funcionamento, além de disponibilizar por meio de uma interface gráfica, acessível via navegador web, as configurações e as informações relativas ao tráfego de dados que passam por ele.

Da mesma forma que o sistema operacional do seu smartphone, desktop ou notebook, recebe atualizações que visam corrigir falhas e implementar melhorias ou novos recursos, as melhores marcas de roteadores também têm a mesma finalidade.

O acesso ao sistema do roteador se dá pelo browser / navegador, digitando-se um endereço IP (geralmente 192.168.1.1 ou 192.168.0.1 ou outro, dependendo do modelo / fabricante) ou um nome da rede por ele criada. Para ser possível esse acesso, é preciso estar conectado à rede sem fio ou por meio de um cabo de rede.

Normalmente a opção de atualização do firmware consta sob as opções de manutenção, junto à reinicialização, retorno às configurações de fábrica, informações do roteador, etc. Consulte o manual ou a documentação fornecida pelo fabricante, para mais informações.

Quando houver a opções a atualização automática, habilite-a e isso fará com que periodicamente exista a verificação e na eventualidade de novas versões, a atualização ocorra sem necessidade de qualquer intervenção da sua parte.

Quando não, há um link ou botão para fazer a verificação na interface de administração, sendo necessário baixar o arquivo de atualização e na própria interface, subi-lo para o roteador, de modo semelhante ao procedimento de anexar um arquivo para envio por e-mail, localizando-o na pasta em que foi feito o download.

Após a atualização, o roteador é reiniciado para o novo sistema passar a operar.

2. Alteração das credenciais de acesso

O acesso à interface do roteador como descrevemos na dica anterior, por padrão requer credenciais (usuário e senha) e que podem variar de acordo com o modelo e fabricante, mas que vêm de fábrica como ADMIN e PASSWORD, em muitos deles.

Mesmo que alguns modelos de algumas marcas usem outros dados e que eles sejam informados no manual do aparelho, os possíveis invasores costumam ter essas informações. Logo, qualquer um que tenha o sinal da sua rede e conhecendo as credenciais, pode acessar o ambiente de administração e fazer o que bem entender.

É altamente recomendável tanto alterar o usuário, quanto a senha. Quanto mais caracteres e quanto mais variados forem, mais difícil é sua descoberta por parte de um possível atacante.

Ressalta-se para os menos atentos e os que não conhecem muito sobre o assunto, que a senha em questão, não é a mesma que é informada pelo usuário que conecta-se à rede sem fio, mas é até mais importante que esta, pois é por meio dela que tudo o que o roteador faz, é configurado.

Nós recomendamos a leitura do post “Senha: Como criar uma que seja segura e fácil de memorizar”, que é bastante útil para criar a senha de administração, a de acesso por parte dos usuários, bem como quaisquer outras senhas que são necessárias hoje em dia no uso de aplicativos e serviços na Web.

3. Senha de acesso

Como já adiantamos na dica anterior, a senha é um aspecto fundamental da segurança, mas aqui estamos nos referindo à senha que é solicitada para conexão e uso da rede Wi-Fi por parte dos usuários.

Boas senhas devem conter 14 ou mais caracteres e combinar letras (maiúsculas e minúsculas), números e caracteres especiais (@#$%&*…).

Não use senhas que sejam sequências de nenhum tipo (Fibonacci, números primos, alfabéticas, etc) e nem que contenham nomes conhecidos, palavras de dicionários, datas, etc. A recomendação da leitura do artigo citado na dica anterior, vale aqui novamente.

Também é conveniente alterar a senha periodicamente (pelo menos mensalmente), especialmente após tê-la compartilhado com convidados.

4. Segurança e criptografia

Há três métodos de segurança em roteadores domésticos e nos usados em micro e pequenas empresas: WEP, WPA e WPA2.

Se o seu só tem disponíveis os dois primeiros, é certamente um aparelho muito antigo e nesse caso, é altamente recomendável adquirir um novo. Isso porque são métodos antigos e inseguros.

Eles estão relacionados com o método de criptografia, a qual pode ser quebrada com razoável facilidade no caso dos dois primeiros.

O WPA2 é uma evolução do WPA e implementou padrões de segurança melhores, especialmente no que diz respeito à criptografia dos dados com AES (em inglês, Advanced Encryption Standard) e que é tido como algoritmo mais robusto em termos de encriptação de dados.

O mais adequado, é o WPA3, o qual corrige problemas detectados na etapa designada como handshake (aperto de mão) – processo em que dois pontos da rede estabelecem que reconheceram um ao outro e estão prontos para iniciar a troca de dados – existente no protocolo anterior (WPA2) e que amplia a criptografia para 192 bits e que é de 128 no anterior no WPA.

No entanto, o WPA3 só está disponível em roteadores Wi-Fi 6.

5. SSID

O SSID – Service Set Identifier ou Identificador de Conjunto de Serviços – de uma rede Wi-Fi, é o termo técnico para o nome da sua rede sem fio. É o nome que aparece na lista de redes disponíveis para conexão no seu smartphone ou notebook.

Alguns aparelhos vêm configurados com um nome padrão e que geralmente tem relação com o fabricante / modelo. Outros é preciso obrigatoriamente informar um nome de rede ou SSID.

Para o primeiro caso, nunca mantenha o nome, porque um possível invasor saberá de qual roteador se trata e até conhecer possíveis vulnerabilidades que possam ser exploradas.

Quanto a escolher um nome, evite seu nome e/ou sobrenome ou outras informações que no caso de um condomínio, permitem identificá-lo. Se um vizinho quiser “roubar” seu sinal, fica fácil para ele saber qual a sua rede. Em se tratando de uma empresa, não usar o nome da empresa, tem a mesma justificativa, além de alguém que pretende algum outro tipo de ação maliciosa contra a empresa, consiga identificar sua rede facilmente.

A escolha do nome deve considerar não chamar atenção ou dar destaque em relação a outras redes na vizinhança.

Mas quando possível, o melhor é optar por uma rede “invisível”.

Alguns roteadores permitem ocultar o SSID, o que na prática significa que ao listar as redes ao alcance, a sua não será exibida. Esse artifício não impede que um hacker com alguns conhecimentos localize-a, mas vai lhe dar algum trabalho e no caso dos vizinhos leigos e que não gostam de pagar um provedor de acesso, resolverá.

Note que neste caso, os usuários precisarão saber o nome da rede para conseguir a conexão, lembrando que o sistema é case sensitive, ou seja, “MinhaRede” é diferente de “minharede”.

6. DHCP

O DHCP é um protocolo de Internet cujo funcionamento pode ser habilitado nos roteadores para realizar a atribuição dinâmica de endereços IPs para cada dispositivo que se conecta a ele.

Assim, quando você conecta seu notebook e não havendo nenhum outro dispositivo conectado, o roteador atribui o primeiro IP do intervalo disponível. Ao conectar um segundo dispositivo (ex: smartphone), o próximo IP será atribuído e assim sucessivamente.

Mas nas próximas conexões, outros IPs poderão ser designados para os mesmos aparelhos, se os endereços prévios estiverem em uso por outra pessoa da família ou um colega de trabalho, no caso de uma rede empresarial.

Essa é a forma padrão e mais comum de uso, mas não é a melhor.

Há algumas configurações relativas a isso e que podem ser modificadas.

A primeira é atribuir IPs fixos, o que fará com que seu o notebook sempre use o endereço 192.168.0.100 e o smartphone, o 192.168.0.101, por exemplo. Como consequência os IPs fixados não podem ser atribuídos a outros usuários / dispositivos.

O processo na maior parte dos roteadores consiste em vincular o Mac Address da placa de rede sem fio do dispositivo ao IP.

O Mac Address é um número que funciona como um endereço único do dispositivo – no caso a placa de rede sem fio – em uma rede e cuja obtenção no Windows, consiste em digitar “ipconfig /all” em uma janela de prompt de comando e localizar o parâmetro “Physical Address” contido em “Wireless LAN adapter Local Area Connection”.

O método pode variar no caso de outros sistemas operacionais, como no caso do Android e suas diferentes versões, o que facilmente descobre-se em uma pesquisa no Google.

Por fim, imaginemos que há 6 dispositivos na sua residência (ex: 3 smartphones, 1 notebook e 2 SmartTVs). Nesse cenário, defina o primeiro IP livre como sendo 192.168.0.100 e o último, 192.168.0.105, de tal forma que sempre os 6 endereços IPs estarão reservados exclusivamente para os Mac Address dos dispositivos para os quais foram vinculados e não haverá um IP livre para um eventual invasor.

Hackers experientes são capazes de simular endereços Mac, mas isso vai lhes dar algum trabalho e será 100% eficaz contra os leigos, especialmente os vizinhos.

7. Controle de acesso

Há aparelhos que têm o recurso de Whitelist e Blacklist e que basicamente são listas de acessos permitidos (whitelist) e dos não permitidos (blacklist).

Com algumas variações em termos de funcionamento, tais listas permitem ou negam o acesso a endereços IPs externos, como de um site, confiável ou não confiável e endereços Mac.

Para nosso propósito usaremos apenas a whitelist, informando nela os Mac Address de todos os dispositivos que têm acesso, na empresa ou na residência e habilitaremos o controle de acesso apenas para o que constar da whitelist.

Ou seja, qualquer dispositivo que não tenha seu endereço constando da lista branca, não conseguirá conexão, mesmo que o usuário saiba a senha de acesso. Nem mesmo a área de administração é acessível, seja por essa dica, ou mesmo para atribuição estática de IPs, que mencionamos na dica de DHCP.

Também vale aqui ressalva quanto à possibilidade de forjar um Mac Address, mas também que resolve para alguns casos.

Em ambos os casos, atente para o fato de que o primeiro Mac Address a incluir e vincular a um IP, deve ser da máquina pela qual está acessando o roteador, do contrário você perderá o acesso e terá que fazer um reset para as configurações de fábrica.

Outro ponto, é que alguns modelos requerem reinicialização para que as alterações tenham efeito.

8. DMZ

DMZ é a sigla para zona desmilitarizada (do inglês demilitarized zone) e que normalmente consta desabilitado por padrão.

O que o DMZ faz, é permitir um – ou mais – dispositivos sejam acessíveis externamente.

Normalmente se habilita o DMZ quando se pretende usar um serviço na Internet que requeira portas não padrão, por exemplo, no caso de redes peer-to-peer, como o Torrent e o administrador ou usuário não tem o conhecimento necessário para liberar apenas a porta e o respectivo tráfego por ela.

Desnecessário dizer que ativar o DMZ para um ou mais IPs, constitui uma brecha importante na segurança.

9. Firewall

Os melhores modelos oferecem um firewall interno e que é capaz de filtrar algumas situações e, portanto, ser um reforço adicional de segurança.

Alguns tipos de fluxo de dados são identificados pelo firewall do roteador, como por exemplo, tentativas de descoberta de senha por brute force (força bruta) e ataques DoS (Denial of Service, em inglês), também conhecido como ataque de negação de serviço, em que vários pacotes de dados são enviados, na tentativa de tornar os recursos do roteador indisponíveis para os usuários, por mera incapacidade de lidar com o excesso de requisições feitas.

Ao ser ativado, o firewall monitora o tráfego em busca de tráfego anômalo e que tenha por objetivo saturar a rede, de modo que se esse comportamento é detectado, a origem do ataque tem qualquer tipo de acesso bloqueado automaticamente.

10. WPS

O WPS ou Wi-Fi Protected Setup é um padrão desenvolvido pela Wi-Fi Alliance para facilitar a configuração de redes wireless pelos usuários, em que é dispensado o fornecimento de senha para que o dispositivo ingresse na rede.

Eventualmente, uma chave numérica pode ser gerada na interface de administração do roteador, para ser digitada no campo de autenticação do dispositivo, ou vice-versa.

É comum usar esse método para incluir impressoras sem fio em uma rede. No entanto, seja para essa ou outras situações, é desaconselhável o uso do WPS, já que há vulnerabilidades conhecidas e graves relacionadas ao padrão e que podem facilitar a exploração / invasão da rede.

11. PING e acesso remoto

Há alguns cenários em que uma rede doméstica ou empresarial pode responder ao comando PING, tal como faz um servidor web. Muitos aparelhos permitem habilitar o PING, o qual geralmente vem por padrão desabilitado.

Outro recurso, é o acesso remoto e que basicamente permite que uma vez ativado e sabendo-se o endereço IP externo (fornecido pelo provedor de acesso), possibilita que se acesse de qualquer outra localidade o roteador, tal como se faz conectando-se localmente, por cabo ou wireless.

Tanto um, quanto o outro recurso, devem ser mantidos desativados, pois especialmente no caso do acesso remoto, a interface de administração do roteador poderá ser acessada, caso o atacante obtenhas as credenciais de acesso.

12. Rede de convidados

A última dica é orientada para empresas que oferecem sinal Wi-Fi para visitantes.

É altamente recomendável que se tenha uma rede a parte apenas para convidados, em vez de informar as credenciais da mesma rede que os funcionários utilizam.

Mais do que “desconfiar” de pessoas que algumas vezes são visitantes desconhecidos, é lembrar que por mais íntegro que seja o visitante, seu dispositivo pode estar infectado com algum malware que pode ser nocivo e explorar possíveis falhas da rede. Vale lembrar o já citado VPNFilter, o qual foi desenvolvido com essa específica missão.

Os mais modernos e sofisticados roteadores, permitem criar uma segunda rede logicamente isolada da rede principal, para os visitantes. Mas nos casos em que não se tem tal recurso, é aconselhável considerar adquirir e instalar um segundo roteador com essa finalidade específica.

13. Filtro de DNS

Todo roteador permite configurar um serviço de DNS e que basicamente é um serviço que converte o domínio que você digita no navegador, para o endereço IP relativo ao site.

Os campos referentes à essa informação, geralmente estão em branco, a não ser que o roteador sem fio seja também o modem fornecido pela empresa que lhe fornece o acesso à Internet.

Seja em um caso ou noutro, é possível trocar os IPs por um serviço de filtro de DNS.

Basicamente, um filtro de DNS é constituído por listas de IPs cujo conteúdo inclua malwares, sites falsos destinados ou de phishing, redes torrent, e até mesmo conteúdo que não ofereça risco aparente, mas que por alguma razão, não se deseje que o acesso seja possível, como no caso de controle parental.

Conclusão

Roteadores Wi-Fi são um ponto chave de redes domésticas e empresariais, que muitas vezes são esquecidos, ameaçando a segurança da rede e dos usuários.

Artigos relacionados

navegador
Navegador Tor: privacidade, segurança e anonimato na Web
Internet
Como sua empresa trata sua Majestade, o Internauta?
Internet
O que é Internet das coisas (IoT) e exemplos do seu uso

Comentários ({{totalComentarios}})