Privacy & Cookies
Este site usa cookies. Ao continuar, você concorda com o seu uso. Aprenda mais, incluindo como controlar cookies.
Vinte anos atrás a internet banda larga começou a decolar e as pessoas queriam a opção de conectar mais de um computador à sua nova conexão, então os roteadores de rede doméstica da Linksys e outros fornecedores se tornaram populares. Este foi o dia em que as empresas de DSL e Cabo forçaram você a clonar o endereço MAC do seu computador para enganar a empresa a pensar que você só tinha UM dispositivo conectado ao sistema deles. Esses primeiros roteadores não tinham muita coisa no caminho da segurança, mas forneciam tradução de endereços de rede (NAT) e basicamente faziam o trabalho.
Então “wifi” tornou-se uma coisa e os roteadores sem fio foram adicionados à mistura. Eu acho que em algum momento todos tiveram que possuir um Linksys WRT-54G (que foi o roteador sem fio produzido continuamente há mais tempo, desde a Linksys como uma empresa independente, até depois que o LinkSys foi adquirido pela Cisco, para voltar quando a Linksys deixou de fazer parte da Cisco).
Então não há outra razão que não seja “o inferno da coisa” que qualquer um precisa construir seu próprio roteador e dispositivo de firewall. No entanto, há muita satisfação em fazer coisas para “o inferno da coisa”. É claro que as listas publicadas de exploits conhecidos de softwares de fornecedores usados por várias ameaças persistentes avançadas (APTs) e outros atores cibernéticos maliciosos fazem de tomar mais controle do seu hardware/software/rede um passo prudente.
Para um roteador/firewall padrão, você precisará de um computador com duas placas de interface de rede (NICs). Uma pode ser com fio ethernet, outra pode ser sem fio se você apenas planeja ter uma rede sem fio, embora minha preferência sejam pelo menos duas placas de rede ethernet. Meu roteador/firewall pessoal é um daqueles computadores industriais compactos feitos na China com quatro NICs gigabit da marca Intel, que eu comprei por muito pouco dinheiro há dois anos. Mas literalmente qualquer PC com duas placas de circuito impresso serve neste ponto porque o software para rodar um roteador/firewall é tão leve.
pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, são apenas algumas das distribuições que podem funcionar para transformar um computador antigo em um roteador/firewall. Se você tem um roteador antigo que não é mais suportado pelo fabricante para atualizações de software, eu olharia para o OpenWRT como a primeira escolha para flashear o firmware para obter atualizações de segurança suportadas pela comunidade. Ironicamente muitos roteadores comerciais no ponto de preço mais baixo já estão rodando OpenWRT ou uma pequena variação nele.
So…. o que eu recomendo no final de 2019? Bem, se você quiser usar um PC real com processador x86 (32 ou 64 bits), eu recomendo opnsense, e se você quiser usar qualquer outra coisa, então OpenWRT se você puder. A exceção a isto é se você estiver usando o Ubiquiti Gear, que é construído para rodar sua versão de software baseado em VyOS (embora VyOS seja apenas linha de comando, sem interface web útil) então se familiarizar com VyOS é provavelmente melhor para essa situação.
O que você DEVE fazer se estiver construindo seu próprio dispositivo.
Configure sua própria rede privada virtual (VPN) que você pode usar para fazer um túnel de volta para sua rede doméstica enquanto estiver viajando. Isso permitirá que você use WiFi público de uma maneira muito mais segura, pois seu tráfego irá encriptado do seu dispositivo móvel até o seu router/firewall. Como o governo e a indústria já sabem que você está pagando pelo serviço de internet doméstica, eles o vêem navegando de casa, e os bisbilhoteiros não podem roubar suas contas, números de cartão de crédito ou débito, ou outros dados sensíveis. A desvantagem é um pouco menos de desempenho, mas a segurança SEMPRE tem um impacto no desempenho.
Que software VPN você deve usar? Atualmente estou usando o OpenVPN já que ele vem empacotado no pfsense que eu já estou usando. OpenVPN também tem aplicativos clientes para smartphones (você pode baixar da loja de aplicativos apropriada) e tem um monte de suporte da indústria/comunidade. A desvantagem do OpenVPN é que não é inerentemente fácil de configurar (eu tive que editar manualmente o arquivo de configuração do cliente para fazer a conexão do meu laptop funcionar), e os aplicativos de conexão nem sempre são os mais estáveis. Há muito buzz em torno do Wireguard como solução, e o Wireguard foi incorporado ao kernel para muitas distros Linux. A desvantagem do Wireguard é que ele ainda é um “trabalho em progresso” em termos de desenvolvimento de software e eles ainda estão trabalhando para uma versão estável 1.0 (o que significa que se você adotar agora você é essencialmente um testador beta).
Então…por que você deve construir seu próprio roteador e configurar seu próprio VPN? É realmente só “para o inferno” ou você não quer pagar uma taxa mensal para um serviço VPN comercial. Eu não recomendo serviços “VPN gratuitos” porque suspeito que são todos esforços de recolha de informação por parte de vários actores estatais (principalmente a China). Quanto aos serviços VPN pagos que prometem não olhar para o seu tráfego, suponha que estão a mentir (a paranóia nas comunicações é uma coisa boa). E no que diz respeito aos serviços VPN pagos, caveat emptor.
Mais informações sobre os perigos dos serviços VPN gratuitos e pagos: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms
Se já tem a sua rede configurada da maneira que gosta, e quer apenas adicionar segurança adicional com o seu próprio VPN, a antiga solução VPN Traffic Layer Security (TLS) utilizando um Raspberry Pi de baixa potência é uma óptima opção: https://pimylifeup.com/raspberry-pi-vpn-server/ e você pode usar um cliente OpenVPN para suas necessidades de tunneling quando estiver na estrada.
Em resumo, muitos desses projetos não são “gratuitos” em termos de hardware, frustração ou tempo. Alguns deles têm uma curva de aprendizado. No entanto, todos eles são boas coisas a fazer para aumentar seu nível de segurança da informação.