3 etapas para proteger sua rede doméstica
Quem tem acesso à sua rede doméstica? Com a Internet das Coisas (IoT) comum, às vezes há mais serviços em execução na sua rede doméstica do que você imagina. Proteja-o contra tráfego indesejado.
A configuração típica para conectividade com a Internet hoje é que sua casa tenha um roteador, geralmente uma pequena caixa física localizada em algum lugar da sua casa, que funciona como uma porta de entrada para o resto do mundo. O roteador cria uma rede local e você conecta seus dispositivos a ela, incluindo computador, celular, TV, console de jogos e qualquer outra coisa que precise ser conectada à Internet ou entre si. É enganosamente fácil pensar nesta configuração como se houvesse dois “lados” do seu roteador: de um lado está a Internet e do outro, seus dispositivos. Mas isso é um coloquial terrível, porque na realidade existe uma rede mundial inteira de computadores de um lado do seu roteador e sua vida digital do outro. Ao usar a Internet diretamente, você está acessando uma área compartilhada do computador de outra pessoa. Quando você não está usando a Internet, ela não desaparece, e existem muitos scripts e programas projetados para visitar milhões e milhões de roteadores na tentativa de encontrar portas ou serviços abertos. Com a Internet das Coisas (IoT) comum, às vezes há mais serviços em execução na sua rede doméstica do que você imagina. Aqui estão três etapas que você pode seguir para auditar e proteger sua rede doméstica contra tráfego indesejado.
[Leitura relacionada Execute sua rede com software de código aberto]
1. Pense no protocolo
Parte do trabalho do seu roteador é manter a Internet separada da sua rede doméstica. Mas quando você acessa a Internet, você convida uma parte da Internet para entrar em sua casa. Você está abrindo uma exceção à regra geral de que a Internet deve permanecer fora da sua rede.
Em muitos sites, o que é permitido através do seu roteador é apenas texto. Quando você visita seu blog favorito para ler as últimas notícias de tecnologia, por exemplo, você está baixando uma ou duas páginas de texto. Você lê o texto e depois segue em frente. Essa é uma transação simples de um para um.
No entanto, o protocolo HTTPS é robusto e os aplicativos executados na Internet são muito variados. Quando você visita Opensource.com, por exemplo, você não está apenas baixando texto. Você obtém gráficos e talvez uma folha de dicas ou e-book. Você também está baixando cookies em segundo plano, o que ajuda os administradores do site a entender quem visita o site, o que levou a um melhor suporte móvel, a um novo design para maior acessibilidade e a um conteúdo que agrada aos leitores. Você pode não pensar em cookies ou análise de tráfego como algo com o qual você interage quando está na Internet, mas é algo que fica "infiltrado" nas interações da página porque o protocolo HTTPS foi projetado para ser amplo e, em muitos aspectos, de alta confiança . Ao visitar um site via HTTPS (ou seja, em um navegador da web), você concorda implicitamente com downloads automáticos de arquivos dos quais provavelmente não tem conhecimento, mas que acredita serem úteis e discretos. Para um modelo de compartilhamento de arquivos projetado para menos confiança, você pode tentar o espaço Gemini ou Gopher.
Você faz um acordo semelhante ao participar de uma videoconferência. Você não está apenas baixando texto na página, cookies para monitoramento de tráfego, mas também um feed de vídeo e áudio.
Alguns sites são projetados para ainda mais. Existem sites projetados para permitir que as pessoas compartilhem a tela do computador e, às vezes, até mesmo o controle do computador. Na melhor das hipóteses, isso ajuda um técnico remoto a reparar um problema no computador de alguém, mas na prática os usuários podem ser induzidos a visitar sites apenas para ter credenciais financeiras e dados pessoais roubados.
Você suspeitaria com razão se um site que oferece artigos de texto exigisse que você concedesse permissão para olhar pela sua webcam enquanto você lê. Você deve cultivar o mesmo nível de suspeita quando um aparelho requer acesso à Internet. Ao conectar um dispositivo à rede, é importante considerar o acordo implícito que você está fazendo. Um dispositivo projetado para controlar a iluminação da sua casa não deveria exigir acesso à Internet para funcionar, mas muitos exigem, e muitos não deixam claro quais permissões você está concedendo a esse dispositivo. Muitos dispositivos IoT desejam acesso à Internet para que você possa acessar o dispositivo pela Internet enquanto estiver fora de casa. Isso faz parte do apelo de uma “casa inteligente”. No entanto, é impossível saber qual código muitos desses dispositivos executam. Sempre que possível, use software de código aberto e confiável, como o Home Assistant, para interagir com sua área residencial.
[Leia também Como escolher um protocolo sem fio para automação residencial]
2. Crie uma rede de convidados
Muitos roteadores modernos tornam trivial a criação de uma segunda rede (geralmente chamada de “rede de convidados” nos painéis de configuração) para sua casa. Você provavelmente não sente que precisa de uma segunda rede, mas na verdade pode ser útil ter uma rede de convidados por perto. Seu caso de uso homônimo e mais óbvio é que uma rede de convidados fornece às pessoas que visitam sua casa acesso à Internet sem que você lhes diga sua senha de rede. No hall de entrada da minha casa, tenho uma placa identificando o nome e a senha da rede de convidados. Qualquer pessoa que visite pode aderir a essa rede para ter acesso à Internet.
O outro caso de uso é para IoT, dispositivos de borda e meu laboratório doméstico. Quando comprei luzes de Natal “programáveis” no ano passado, fiquei surpreso ao descobrir que, para conectar-se às luzes, elas precisavam estar conectadas à Internet. É claro que as luzes de US$50 de uma fábrica sem nome não vinham com código-fonte incluído, ou qualquer forma de interface ou inspeção com o firmware embutido na fonte de alimentação, e por isso eu não tinha certeza do que estava concordando ao conectar -los para a Internet. Eles foram permanentemente relegados à minha rede de convidados.
Cada fornecedor de roteador é diferente, portanto não há uma instrução única sobre como criar uma rede de convidados em "área restrita" na sua. Geralmente, você acessa seu roteador doméstico por meio de um navegador da web. O endereço do seu roteador às vezes está impresso na parte inferior do roteador e começa com 192.168 ou 10.
Navegue até o endereço do seu roteador e faça login com as credenciais que você recebeu quando obteve o serviço de Internet. Geralmente é tão simples quanto admin
com uma senha numérica (às vezes, essa senha também está impressa no roteador). Se você não souber o login, ligue para seu provedor de Internet e peça detalhes.
Na interface gráfica, encontre o painel “Rede de convidados”. Esta opção está na configuração Avançada do meu roteador, mas pode estar em outro lugar do seu e pode nem ser chamada de "Rede de convidados" (ou pode nem ser uma opção).
(Opensource.com, CC BY-SA 4.0)
Pode demorar muito para clicar e ler. Se você achar que tem essa opção, poderá configurar uma rede de convidados para visitantes, incluindo pessoas que passam pela sua porta e aplicativos rodando em uma lâmpada.
3. Firewall seu firewall
Seu roteador provavelmente possui um firewall em execução por padrão. Um firewall mantém o tráfego indesejado fora da sua rede, geralmente limitando os pacotes recebidos a HTTP e HTTPS (tráfego do navegador da web) e alguns outros protocolos utilitários, e rejeitando o tráfego que você não iniciou. Você pode verificar se um firewall está em execução fazendo login no roteador e procurando as configurações de “Firewall” ou “Segurança”.
No entanto, muitos dispositivos podem executar seus próprios firewalls. Isto é importante porque uma rede é uma rede porque os dispositivos se conectam entre si. Colocar firewalls “entre” dispositivos é como trancar a porta de um cômodo dentro de sua casa. Os convidados podem vagar pelos corredores, mas sem a chave certa eles não serão convidados a entrar no seu escritório.
No Linux, você pode configurar seu firewall usando a interface firewalld e o comando firewall-cmd. Em outros sistemas operacionais, o firewall às vezes está em um painel de controle rotulado como "segurança" ou "compartilhamento" (e às vezes ambos). A maioria das configurações padrão do firewall permite apenas tráfego de saída (esse é o tráfego que você inicia, por exemplo, abrindo um navegador e navegação para um site) e tráfego de entrada que responde às suas solicitações (são os dados da web que respondem à sua navegação). O tráfego de entrada que você não iniciou está bloqueado.
Você pode personalizar esta configuração conforme necessário, caso queira permitir tráfego específico, como uma conexão SSH, uma conexão VNC ou um host de servidor de jogo.
Monitore sua rede
Essas técnicas ajudam a aumentar sua consciência sobre o que está acontecendo ao seu redor. A próxima etapa é monitorar sua rede. Você pode começar de forma simples, por exemplo, executando Fail2ban em um servidor de teste em sua rede convidada. Dê uma olhada nos logs, se o seu roteador os fornecer. Você não precisa saber tudo sobre TCP/IP, pacotes e outros assuntos avançados para ver que a Internet é um lugar movimentado e barulhento, e ver isso por si mesmo é uma grande inspiração para tomar precauções ao configurar um novo dispositivo, seja é IoT, dispositivos móveis, um desktop ou laptop, um console de jogos ou um Raspberry Pi, em sua casa.