10 dicas para aumentar a segurança do seu roteador. Infelizmente os brasileiros ignoram riscos de ataques contra roteadores domésticos , então neste artigo eu listo dez dicas para aumentar MUITO a segurança do roteador.
Um roteador seguro ajuda a prevenir invasões e ataques de malware, protegendo sua rede contra hackers e softwares maliciosos que podem comprometer a segurança de seus dispositivos e dados, além de proteger os dados pessoais e confidenciais que trafegam pela sua rede, incluindo informações de login, senhas, dados bancários e outras informações sensíveis.
As dicas abaixo também ajudam a manter o roteador seguro, impedindo que pessoas não autorizadas acessem sua rede Wi-Fi e usem indevidamente a largura de banda para cometer crimes e atividades ilegais.
Por fim, muitos dispositivos IoT (Internet das Coisas) têm vulnerabilidades de segurança e podem ser alvos fáceis para hackers, sendo que um roteador seguro ajuda a proteger esses dispositivos conectados, isolando-os da rede principal e implementando medidas de segurança adicionais.
Nesse artigo eu utilizei imagens de gerenciamento de roteadores ASUS que eu considero excelentes, com a vantagem do gerenciador deles ser completo e ter opções que muitas vezes não existem nos demais roteadores do mercado.
SEMPRE instale o firmware mais recente. Acesse constantemente o site do seu roteador para saber se há alguma atualização, ou preferencialmente habilite a opção do roteador instalar automaticamente um novo firmware.
As atualizações de firmware frequentemente incluem correções para vulnerabilidades de segurança descobertas desde a última versão, e atualizar o firmware impede ataques de hackers e malwares que exploram essas vulnerabilidades.
Além disso, novos firmwares podem incluir otimizações que melhoram o desempenho do roteador, novos recursos e funcionalidades ao roteador e compatibilidade com dispositivos mais recentes, garantindo uma conectividade perfeita em toda a sua rede.
Altere o login e senha padrão, sendo que o ideal é que tanto o login quanto a senha não tenham NENHUMA RELAÇÃO com seu nome, bicho de estimação, time de futebol ou qualquer assunto que tenha relação com você. Quanto mais diferente, melhor.
Algumas sugestões de nome para login, considerando que roteadores usualmente não aceitam caracteres especiais nem espaço:
- Eu-gosto-de-BigMac
- Login-protegido-mente-tranquila
- Exterminador-do-passado-distante
- Conectando-com-responsabilidade
- Estou-perdido-aqui
- R2D2-e-3CPO-estiveram-aqui
- Um-mais-um-igual-a-dois
- Autenticacao-por-tres-fatores
Para criar senhas fortes, leia esse artigo, sendo que o ideal é que ela tenha no mínimo 12 caracteres. Abaixo estão algumas sugestões, considerando que você SEMPRE deve utilizar caracteres especiais brasileiros (ã, é, à, ê, etc.) para dificultar a descoberta da senha por bots de hackers não-brasileiros:
- Balão Mágico 2024
- Spock e Kirk são feras!
- Eu ODEIO açafrão
- No mínimo mil reais
- Eu moro na Bananalândia
- É sério que você quer entrar?
Utilize uma senha ainda forte para acesso remoto, sendo que o ideal é que ela contenha caracteres brasileiros (como ç, á, ã, é, etc) e TAMBÉM códigos Alt (Alt+255, Alt+216, etc) pois isso torna a quebra da senha muito mais complexa e lenta por bots ou ataques de força bruta.
Utilize no mínimo autenticação WPA2-AES, ou WPA3 caso o seu roteador tenha suporte a ele. Métodos de autenticação forte ajudam a proteger seu roteador contra acesso não autorizado por hackers ou intrusos que possam tentar acessar sua rede.
O WPA3 utiliza o protocolo SAE (Simultaneous Authentication of Equals) que substitui o PSK (Pre-Shared Key) usado no WPA2, tornando o roteador muito mais resistente a ataques de força bruta.
Além disso, ele introduz proteção individualizada de dados, fazendo com que cada dispositivo na rede Wi-Fi tenha sua própria criptografia, tornando mais difícil um invasor interceptar e decodificar o tráfego de rede.
O acesso remoto ao roteador deve preferencialmente ser realizado somente via conexão a cabo sem possibilidade de fazer isso via Wi-Fi, e através de um IP específico.
Embora isso seja bastante restritivo, isso ajuda muito a manter o roteador protegido contra acessos externos:
Habilitar o firewall no roteador é fundamental por várias razões:
Proteção contra Ataques Externos: O firewall atua como uma barreira entre a sua rede doméstica e a internet, filtrando o tráfego de entrada e bloqueando tentativas de acesso não autorizado por parte de hackers, malware e outras ameaças cibernéticas.
Bloqueio de Portas Não Autorizadas: Um firewall habilitado pode bloquear portas não utilizadas ou potencialmente vulneráveis do roteador, reduzindo a superfície de ataque e protegendo contra explorações de vulnerabilidades.
Prevenção de Ataques de Força Bruta: O firewall pode ajudar a prevenir ataques de força bruta, que tentam acessar o roteador através de tentativas repetidas de login com diferentes combinações de usuário e senha.
Controle de Tráfego de Saída: Além de proteger contra ameaças externas, o firewall também pode monitorar e controlar o tráfego de saída da rede, ajudando a evitar que dispositivos comprometidos na rede transmitam dados confidenciais ou se envolvam em atividades maliciosas.
Detecção e Bloqueio de Tráfego Suspeito: O firewall pode ser configurado para detectar e bloquear padrões de tráfego suspeitos ou comportamentos maliciosos, oferecendo uma camada adicional de proteção contra ameaças cibernéticas.
Segurança de Dispositivos Conectados: Um firewall habilitado protege não apenas o roteador em si, mas também todos os dispositivos conectados à rede doméstica, garantindo que cada dispositivo esteja protegido contra ameaças externas.
Desabilitar o WPS (Wi-Fi Protected Setup) é recomendado por razões de segurança.
O WPS tem sido historicamente associado a várias vulnerabilidades de segurança que podem ser exploradas por invasores para acessar sua rede Wi-Fi sem a necessidade de conhecer a senha. Isso inclui ataques de força bruta e ataques de PIN, que podem comprometer a segurança da sua rede.
Além disso, muitos roteadores são vulneráveis a ataques de reconfiguração de PIN, onde um invasor pode usar métodos automatizados para tentar adivinhar o PIN de WPS em um curto espaço de tempo, mesmo que o PIN seja bloqueado após várias tentativas malsucedidas.
Desativar o WPS é uma medida de segurança adicional que pode proteger sua rede Wi-Fi contra explorações e ataques cibernéticos.
Embora desativar o WPS possa exigir um pouco mais de esforço para configurar novos dispositivos na rede, os benefícios em termos de segurança superam as conveniências adicionais.
Se você faz questão de usar o WPS para configurar novos dispositivos, você pode habilitá-lo, e depois de finalizar a instalação e configuração dos dispositivos, desabilitá-lo pois os dispositivos funcionarão normalmente.
Desabilitar o recurso Plug and Play (PnP) no roteador é uma prática recomendada por questões de segurança.
O PnP permite que dispositivos sejam automaticamente detectados e configurados na rede sem a necessidade de intervenção manual, abrindo portas para potenciais vulnerabilidades, aumentando a superfície de ataque da rede. Desabilitar o PnP reduz essa superfície, tornando mais difícil para invasores explorarem vulnerabilidades relacionadas ao PnP.
Se o PnP estiver habilitado, dispositivos desconhecidos podem se conectar à rede sem a necessidade de autenticação adequada, permitindo que invasores acessem a rede de forma não autorizada, comprometendo a segurança dos dados e dispositivos conectados, além do PnP ser suscetível a ataques de injeção de código, onde invasores podem enviar comandos maliciosos para dispositivos na rede por meio de mensagens de configuração automáticas.
Por fim, desabilitar o PnP oferece aos administradores de rede maior controle sobre quais dispositivos são permitidos na rede, facilitando a detecção de dispositivos não autorizados e a aplicação de políticas de segurança adequadas.
Desabilitar o protocolo Telnet no roteador é importante para ajudar a manter o roteador seguro, pois o Telnet transmite dados, incluindo senhas e outras informações confidenciais, em texto simples e não criptografado pela rede. Isso permite que qualquer pessoa com acesso à rede pode potencialmente interceptar e ler esses dados, comprometendo a segurança da rede.
O Telnet também é conhecido por ter várias vulnerabilidades de segurança, incluindo falhas de autenticação, explorações de buffer overflow e possíveis ataques de negação de serviço (DoS).
Desabilitar o Telnet reduz a superfície de ataque do roteador, tornando mais difícil para invasores explorarem vulnerabilidades no protocolo Telnet para obter acesso não autorizado ao dispositivo.
Embora o SSH seja mais seguro do que o Telnet, não existe motivo para deixá-lo habilitado se o roteador não for gerenciado remotamente, pois isso evita acesso remoto ao roteador através de ataques de força bruta.
Se você precisa acessar seu roteador remotamente, então faça isso somente via HTTPS e utilizando uma porta padrão diferente da porta padrão (8443 no caso de roteadores ASUS).
O HTTPS (HTTP Secure) criptografa todas as comunicações entre o navegador e o roteador, garantindo que qualquer informação transmitida, como senhas e configurações, seja protegida contra interceptação por terceiros, protege contra ataques MITM (Man-in-the-Middle), onde um invasor intercepta o tráfego entre o navegador e o roteador.
A mudança da porta padrão é necessária para aumentar a segurança contra ataques automatizados que são programados para invadir roteadores utilizando a porta padrão de acesso a eles.
Se você escolheu utilizar a porta 1554, por exemplo, então ao acesso ao roteador deve ser:
https:<endereço dele>:1554