Você provavelmente não dá muita atenção para ele, mas seu roteador é um dos dispositivos mais importantes da sua casa – sem ele, não há Wi-Fi para o seu notebook, celular e todos os outros dispositivos conectados à internet que você tem.

Tudo o que entra e sai da sua rede doméstica passa pelo roteador. É como uma guarita em uma fronteira, com o tráfego fluindo para dentro e para fora. Ele precisa ser bem defendido também, não apenas para manter fora os visitantes indesejados, mas também para se certificar de que ninguém está configurando um sistema de vigilância na fronteira para espionar quais carros estão entrando e saindo (que é o seu histórico de navegação, se você ainda estiver seguindo a analogia).

Fraca segurança do roteador através dos tempos

Considerando que o roteador é responsável pelo acesso da sua rede doméstica (ou escritório), você pensaria que a segurança seria uma prioridade para fabricantes e usuários. Mas as vulnerabilidades continuam a aparecer e, muitas vezes, são ignoradas.

Um relatório de 2014 constatou que 20 dos 25 principais roteadores mais vendidos da Amazon para uso de pequenas empresas e home office tinham vulnerabilidades de segurança que poderiam ser exploradas – vulnerabilidades que foram documentadas publicamente na internet em um terço dos casos. Em setembro deste ano, um pesquisador de segurança expôs dez vulnerabilidades graves em um roteador para consumidor vendido pela D-Link.

Imagem: Captura de tela

Somente no mês passado, uma forma conhecida de malware foi capaz de assumir o controle de cerca de cem mil roteadores ZyXEL expostos para fins de construção de botnet, graças a configurações de segurança padrão fracas deixadas na configuração por um provedor argentino. Se você quer saber o quão ruim é o problema, esta página lista bugs e vulnerabilidades conhecidos atualmente.

Então, há o KRACK, a falha fatal no protocolo de segurança Wi-Fi que a grande maioria dos roteadores usam – até o fabricante do roteador lançar uma atualização, ele deixa a sua rede doméstica sob a ameaça de qualquer um dentro de seu alcance.

Embora seja verdade que os hackers não estejam necessariamente fazendo fila na sua casa para roubar um pouco da sua banda larga para uma sessão ininterrupta de Netflix, com uma combinação de programas de malware e configurações do roteador mal-garantidos sua rede pode ser acessada remotamente, alistada como um soldado em um exército botnet, ou espionada por agências do governo. Se você quer que sua rede doméstica e os dispositivos que se conectam a ela estejam seguros, isso começa com o seu roteador.

Como funcionam os roteadores

Tecnicamente falando, um roteador conecta todos os dispositivos em sua casa e fornece acesso a um modem, que faz o trabalho de comunicação com a internet em geral. Hoje em dia, no entanto, muitas unidades têm combinado as funções de modems e roteadores em uma caixa, apenas mantendo o nome de roteador. Eles também são chamados às vezes de gateways, dependendo de quem você esteja comprando ou alugando.

Roteadores trabalham com pacotes de dados, que são exatamente o que parecem. Todos os 1s e 0s que compõem o seu feed do Facebook ou a sua chamada de Skype são embalados em pacotes para transmissão, juntamente com marcadores de identificação, verificações de erro e etiquetas de endereço. É como um enorme armazém da Amazon, com pacotes entrando e saindo a velocidades super-rápidas, todas endereçadas para algum lugar na internet (saída) ou um dispositivo em sua casa (entrada).

Imagem: Netgear

O roteador recebe esse nome porque ele encaminha todos os dados para o lugar certo, mesmo se as crianças estiveram assistindo à Netflix no andar de baixo e você estiver ouvindo Spotify no quarto. Manter esses dados separados e impedir que um dispositivo espione o outro, deliberadamente ou não, são duas das funções-chave com que os roteadores têm de lidar.

Quanto melhor for seu roteador, mais rápido ele conseguirá manipular todos esses dados e com mais dispositivos ele poderá trabalhar ao mesmo tempo. Mas como já mencionado, ele também precisa ser bloqueado em termos de dados que são autorizados a passar e os usuários e dispositivos que recebem permissão para enviar e receber dados.

Noções básicas de segurança de roteador

No nível mais básico, o seu roteador melhora a segurança através da apresentação de um endereço IP para o mundo – uma espécie de CEP mostrando o seu endereço para a internet e lidando com os endereços IP para os seus outros dispositivos individualmente. Se os bandidos à espreita na internet só conseguem ver o portão do condomínio, em vez de todas as casas separadas lá dentro, é mais difícil para eles fazerem qualquer dano… embora, é claro, ainda seja bem possível.

O roteador oferece um firewall básico contra tráfego indesejado e não solicitado a partir de lugares estranhos da internet, principalmente através do que é conhecido como roteamento e filtragem de portas NAT (Network Address Translation). O roteamento NAT é basicamenteo que já dissemos: esconder os endereços IP de todos os seus dispositivos por trás de um único endereço.

Imagem: Linksys

Todos os pacotes de dados que chegam ao seu roteador devem ter sido especificamente solicitados pelo seu celular, notebook ou outro dispositivo, se não eles são bloqueados e descartados. O roteamento NAT faz isso verificando aonde os pacotes estão pedindo para serem mandados, e se eles não têm um endereço válido para um de seus dispositivos, eles são descartados.

Para colocar de outra forma, é como mensageiros (pacotes de dados) aparecendo na recepção do seu escritório (o roteador). Se o pacote foi especificamente solicitado e tiver um nome e detalhes de contato para alguém no edifício, pode passar. Se o pacote é apenas vagamente destinado a qualquer pessoa que trabalha lá, ou alguém de quem a recepção nunca ouviu falar, ele é parado.

Imagem: Netgear

Encaminhamento de portas e questões de segurança

Este sistema de proteção colocado pelo seu roteador é bom do ponto de vista da segurança, mas pode ocasionalmente falhar, como você descobriu se já tentou usar um aplicativo ou serviço que precisa de privilégios especiais (conectar a um servidor de jogos ou rede de torrent são bons exemplos).

Na tentativa de tornar a vida um pouco mais fácil para aplicativos e servidores, temos o que é conhecido como encaminhamento de portas: o que afrouxa um pouco as regras para que pedidos genuínos que entram em portas diferentes possam ser redirecionados automaticamente para o lugar certo. Em teoria, isso significa menos dor de cabeça quando você está fazendo coisas como acessar o seu computador doméstico a partir de seu escritório, que, de outra forma, precisaria de um monte de configuração manual no roteador.

Imagem: Netgear

Uma das ferramentas utilizadas para gerenciar o encaminhamento de portas é a UPnP, ou Universal Plug and Play, que está disponível na maioria dos roteadores modernos. Novamente, a ideia é facilitar para videogames e TVs inteligentes e outros dispositivos abrirem portas e gerenciar o encaminhamento de porta sem um monte de configuração, mas muitas vezes ele está sendo usado por programas de malware para desligar as medidas de segurança mais importantes do seu roteador.

A maioria dos especialistas recomenda desligar o UPnP a menos que você precise especificamente dele. Dispositivos inteligentes e da Internet das Coisas também são conhecidos por deixar o protocolo aberto ao ataque, e é por isso que você deve verificar se os dispositivos não estão interferindo com o funcionamento do seu roteador de forma que não deveriam.

Proteger a rede local

Essas são as principais maneiras como o seu roteador protege sua rede doméstica de um ataque externo, mas e os dispositivos locais? Aqui, a principal barreira contra acesso é a senha Wi-Fi do seu roteador, impedindo qualquer um de entrar na sua conexão com a internet.

O seu roteador provavelmente usa um protocolo chamado WPA2 ou Wireless Protected Access 2 (se o roteador está usando os padrões WEP ou WAP mais velhos, atualize para o WPA2 assim que possível). Tirando problemas recentes de segurança no momento, é a opção mais segura que o seu roteador tem para manter os visitantes indesejados fora da sua rede local.

Imagem: Netgear

Crucial para o WPA2 é a criptografia de dados: assim como criptografia protege os dados no seu iPhone, o WPA2 a utiliza para embaralhar os dados que viajam do e para o seu roteador, então ele fica embaralhado e confuso para quem estiver tentando acessar os seus dados. O WPA2 usa a criptografia AES, que é usada pelo governo dos EUA e praticamente por todo o resto do mundo.

Sem a chave de decodificação (sua senha Wi-Fi), os dispositivos não podem ver o que está acontecendo na rede e não podem navegar na internet através de seu roteador. Em outras palavras, eles estão completamente bloqueados. Esse tipo de proteção de roteador pode ser contornada com bastante tempo e esforço – por um teste de força bruta com todas as combinações de senha possíveis, por exemplo –, mas provavelmente não é algo que o seu vizinho esteja tentando fazer.

Mantendo o seu roteador seguro

Se quiser, você pode deixar a segurança da sua rede doméstica nas mãos do roteador, mas nós aconselhamos que você tome uma abordagem mais proativa do que essa. Na verdade, você pode considerar trocar o seu roteador antes de mais nada – as caixas padrão que os provedores fornecem são os principais alvos dos hackers.

As atualizações de firmware são importantes, embora você provavelmente não saiba disso, dada a falta de atualização automática na maioria dos modelos de roteador. Você pode geralmente encontrar um novo firmware do seu provedor ou fabricante do roteador se der uma olhada no site oficial, mas não espere muitas atualizações ao longo da vida de um roteador. Quaisquer atualizações que aparecerem vão abordar questões de segurança, então vale a pena instalá-las.

Imagem: Captura de tela

É também uma boa ideia mudar o nome de usuário e a senha padrão necessários para alterar as configurações do seu roteador – essas credenciais são diferentes da sua senha WPA2 e precisam ser inseridas quando você entrar em seu dispositivo roteador através de um IP especial que o fabricante do seu roteador ou provedor forneceu para você.

Como muitos roteadores vêm com o mesmo nome de usuário e senha padrões, qualquer um que estiver na sua rede poderia facilmente chegar nas definições de WPA2, redirecionamento de portas, UPnP e assim por diante. No entanto, eles precisam já ter acesso à rede, e isso não é algo que alguém pode fazer sem sua senha Wi-Fi ou acesso físico ao seu roteador.

Imagem: Captura de tela

Falando de senhas, também é sensato alterar sua senha Wi-Fi de vez em quando. Você vai ter o inconveniente de ter que reconectar todos os seus dispositivos, mas é uma maneira eficaz de bloquear quaisquer pessoas ou dispositivos que possam maliciosamente querer ganhar acesso sem o seu conhecimento, como aquele seu vizinho mais incômodo.

Se o seu roteador tiver quaisquer recursos de gerenciamento remoto, desligue-os, a não ser que você saiba que vá usá-los. Em geral, eles devem ser seguros para usar, mas dão aos hackers mais maneiras de tentar quebrar as defesas do seu roteador e devem ser deixados desativados durante a maior parte do tempo.

Imagem: Captura de tela

Por fim, é uma boa ideia desligar o WPS ou Wi-Fi Protected Setup. O recurso é projetado para tornar mais fácil a conexão de novos dispositivos, com um PIN de 8 dígitos ou um apertar de botão, mas é claro que também torna mais fácil alguém ter acesso não autorizado – fazer um ataque de força bruta em um PIN é muito mais rápido do que em uma senha alfanumérica mais longa, especialmente quando o último é uma soma de verificação (no total existem cerca de 11.000 combinações).

Alguns fabricantes de roteadores têm reestruturado a WPS nos últimos anos – limitando o número de tentativas de PIN fracassadas que podem ser feitas, por exemplo. Mas se você conseguir encontrar essas opções nas configurações do seu roteador, ainda é uma boa ideia desligar o acesso PIN pelo menos. O método de apertar o botão é relativamente seguro, desde que você confie nas pessoas que estão entrando e saindo da sua casa.

Imagem do topo: Chelsea Beck/GMG