Por Marcelo Tavares de Santana [*]
Já temos mais de trintas ano de Internet, um pequeno tempo para humanidade, uma eternidade em problemas se formos somar todos os tempos que alguém foi prejudicado e colocarmos numa única linha. Apesar de todos os riscos, a Internet está cada vez mais vinculada ao nosso cotidiano, sendo obrigatória para acesso a uma série de serviços, incluindo aqueles ao cidadão, e mesmo assim os governos ainda não a veem como um direito humano. A indústria tenta vender tudo pronto em caixas, como se nunca precisássemos entender o que colocamos dentro de nossos lares, e isso diminui nossa consciência e conhecimento do que precisamos fazer para nos protegermos. Nesse contexto vamos dar continuidade ao estudo do equipamento que é a porta de entrada e de saída de nossos dados para a Internet: o roteador doméstico.
Roteadores domésticos são muito diferentes dos roteadores de Internet que ficam dentro das empresas de acesso, direcionando o tráfego de dados e não têm Wi-Fi integrado, como costuma vir nos domésticos; para facilitar chamaremos nossos equipamentos de roteadores Wi-Fi. Esses equipamentos recebem números de IP (Internet Protocol) sempre que estão conectados à Internet e que podem mudar com o tempo, e por isso chamamos de IP dinâmico. Apesar de não mudar com frequência, o IP dinâmico dificulta algumas estratégias de acesso remoto à nossa casa, mas também podem dificultar alguns tipos de ataques. O mais importante é que nossos roteadores Wi-Fi, que estão ligados diretamente à Internet e podem receber solicitações de conexões de toda a rede, ignoram por padrão qualquer tentativa de acesso externo entrando na nossa casa. Essas conexões são chamadas de entrantes porque começam com a tentativa externa de tentar entrar na rede doméstica. Quando acessamos um serviço na Internet chamamos as conexões de saintes porque a comunicação começa com uma requisição saindo de nossa rede doméstica, e por padrão essas conexões são sempre permitidas, ou seja, quando forem enviadas respostas vindas de fora de nossas redes, tais respostas estão autorizadas a entrar.
Esse controle do que pode entrar e pode sair de dados de nossos lares é controlado por uma tecnologia chamada NAT (Network Address Translation), e funciona como se fosse um porteiro que recebe previamente a foto de quem pode entrar pelos moradores de um condomínio; um sonho de procedimento que infelizmente não acontece na prática humana do dia a dia (apesar das novas formas de endereçamento poderem mudar isso com o IP versão 6, continuaremos nessa linha de raciocínio por enquanto). Os crackers na Internet sabem disso e não ficam gastando energia elétrica de seus equipamentos à toa em alvos aleatórios, provavelmente eles testam vulnerabilidades conhecidas torcendo para encontrar um roteador Wi-Fi que esteja com seu software de firmware desatualizado e com falha de segurança. Assim temos um modo de usarmos a NAT que precisa ser checada, que é permitir todas as conexões saintes e bloquear por padrão todas as conexões entrantes. Como existem diversos modelos de roteadores Wi-Fi, será necessário que cada um consulte a documentação de seu equipamento e procure pela interface de configuração da NAT. Uma vez encontrada é precisa checar se existem ou não configurações que permitam a entrada de dados não correspondentes a uma conexão sainte.
Precisamos aqui entender o conceito de porta IP. Cada equipamento terminal (computador, notebook, smartphone etc.) dentro de nossas redes domésticas se comporta com um edifício dentro do condomínio e cada um deles têm diversas portas IP que são análogas às portas do prédio. Para algo entrar é preciso uma permissão específica de entrada para um determinado prédio e porta. Assim o que precisamos fazer é descobrir se existe acesso a alguma porta IP autorizado. Essa configuração infelizmente não tem um nome único, então segue alguns nomes para procurar na documentação e no roteador Wi-Fi: Firewall, Port Forwarding, Redirecionamento de porta, NAT, Servidores Virtuais. Pelos menos o formato dessa configuração é um pouco mais padronizado e deve ter pelo ao menos uma tabela com cinco dados principais: protocolo, IP externo/Source Net/Serviço, porta de entrada/port from/port in, porta de saída/port to/port out, IP interno/IP Address. Em caso de outras nomenclaturas será preciso consultar algum fórum na Internet ou amigos, mas provavelmente navegar pelas páginas de configuração do roteador Wi-Fi já deve resolver. Encontrada essa configuração, se não existirem autorizações de redirecionamento de portas IP isso significa que as conexões entrantes estão bloqueadas por padrão e que a segurança da rede está consideravelmente boa, desde que o firmware do equipamento esteja atualizado. Caso contrário, será preciso descobrir quem usa tal configuração, se o equipamento que a usa está com os programas atualizados e se ele tem acesso a algum outro equipamento ou vice-versa; nesse terceiro caso o recomendável é retirar todos esses acessos. Se ninguém se manifestar sobre essa autorização, apague e reinicie o roteador Wi-Fi.
Ainda temos mais um aspecto a considerar a respeito de nossos roteadores Wi-Fi, o fato de muitas vezes sermos forçados a usá-los pela operadora de acesso à Internet como parte do serviço e assim devemos considerar a possibilidade de existir uma forma de acesso ao equipamento que a empresa pode usar. Normalmente usam o pretexto de suporte remoto, reorganização e manutenção de rede etc., e colocar um equipamento alternativo de nossa escolha tem se tornado tarefa cada vez mais árdua. Como forma de resolver essa possibilidade em outro artigo, consideraremos a colocação de um segundo roteador, algo que já acontece para que cômodos da casa tenham melhor acesso à Internet. Por agora, vamos nos preocupar em bloquear conexões entrantes ou entender quais são realmente necessárias; atualmente é provável que somente as portas IP relacionadas a jogos precisam estar com acesso liberado.
Com os tópicos tratados aqui demos mais alguns passos no projeto de uma rede mais segura para nossas casas. Vamos aproveitar e verificar como estão configurados os firewalls em nossos computadores, pois funcionam com a mesma lógica dos roteadores Wi-Fi: conexões saintes e entrantes, e autorização por portas IP. Dessa forma, segue sugestão de estudos sobre o assunto para as próximas semanas:
- Semana 1: procure a configuração de NAT na documentação do roteador Wi-Fi e veja o que pode ser alterado;
- Semana 2: procure a configuração de portas e verifique com todos se existe alguma que realmente precise estar liberada;
- Semana 3: estude o funcionamento de firewall de teu roteador Wi-Fi, pode ser que usem outro nome;
- Semana 4: revise a atualize os firewalls de todos os equipamentos da casa.
No próximo artigo faremos a configuração de um serviço interno à nossa rede para auxiliar na tarefa de backup.
Bons estudos a todos!
[*] Professor de Ensino Básico, Técnico e Tecnológico do Instituto Federal de São Paulo.