As redes WiFi se tornaram a norma, mas apresentam uma série de preocupações de segurança: elas podem permitir que um invasor acesse sua rede doméstica, as máquinas conectadas a ela e seu tráfego. Uma pessoa mal-intencionada pode realizar seu ataque à distância, com total discrição. No entanto, fortalecer a segurança de sua rede WiFi não é apenas, como você verá, apenas alterar a chave de rede. Aqui estão algumas dicas para melhorar a proteção de sua rede contra possíveis intrusões.
resumo- WiFi: segurança limitada, faça o que fizer
- Senha, segurança...: conselhos básicos
- Dicas mais avançadas para proteger sua rede WiFi
- Métodos complicados que não recomendamos (e por quê)
- comentários
WiFi: segurança limitada, faça o que fizer
O primeiro conselho é não acreditar que será possível tornar sua rede WiFi completamente imune a ataques. A tecnologia tem várias falhas. Primeiro, depende de ondas que atravessam paredes: o sinal é, portanto, acessível em toda a sua casa, o que é particularmente verdadeiro quando você mora em um apartamento na cidade.
O segundo problema é que a criptografia não é mais segurança absoluta. Vulnerabilidades conhecidas e bem documentadas (em particular o WPS) permitem, por exemplo, acessar redes sem fio sem sequer tentar adivinhar a chave em alguns roteadores não atualizados. As cifras WEP e WPA agora são muito fáceis de decifrar. E desde o ano passado, a segurança da criptografia WPA2 também foi quebrada.
Desde então, a WiFi Alliance anunciou a criptografia WPA3, que deve permitir recuperar algum tempo à frente dos piratas. Mas os roteadores, como dispositivos compatíveis com WPA3, ainda são raros. E no final esperamos de qualquer forma que os piratas acabem encontrando um novo desfile...
A primeira forma de reforçar a segurança da sua rede WiFi é, portanto, reforçar a segurança daquilo que corre mais risco de ser invadido, nomeadamente a segurança dos dispositivos ligados à sua rede. Daí a relevância, por exemplo, de um firewall diretamente no seu computador, em vez de depender do seu roteador.
Senha, segurança…: conselhos básicos
Vamos começar com conselhos de bom senso que infelizmente nem sempre são respeitados. Se você já os conhece, pule para dicas mais avançadas e/ou métodos que não recomendamos.
Escolha uma senha forte para sua rede WiFi
Em geral, sua rede WiFi é gerenciada pela caixa da sua operadora. Isso significa que, em geral, sua operadora já atribuiu a você uma chave de conexão muito complexa que você não precisa alterar. A menos que sua caixa esteja em áreas comuns e você queira impedir que alguém se conecte com o código colado na etiqueta da caixa.
De qualquer forma, se você mudar, escolha algo mnemônico e seguro. Neste artigo, damos-lhe bons conselhos para escolher as melhores palavras-passe. Uma delas é construir suas senhas como frases (séries de palavras pronunciáveis) ao invés de séries de números, letras e caracteres especiais.
Escolha a cifra mais alta compatível com seus dispositivos
Em geral, todos os roteadores oferecem esses métodos de criptografia (os mais seguros da lista em negrito):
- WEP 64 bits
- WEP 128 bits
- WPA-PSK (TKIP)
- WPA-PSK (AES)
- WPA2-PSK (TKIP)
- WPA2-PSK (AES)*
- WPA/WPA2-PSK (TKIP+AES)
* a cifra mais forte na maioria dos roteadores é esta, não a que vem logo depois, como muitos usuários infelizmente acreditam…
Mais recentemente, alguns dispositivos também oferecem esse método:
- WPA3
WEP (Wired Equivalent Privacy) é o mais antigo dos métodos de criptografia – e agora é quase tão recomendado quanto deixar sua rede sem senha (seja em sua versão de 64 ou 128 bits). É um método a ser evitado em todos os casos.
WPA (Wi-Fi Protected Access) é uma série de padrões projetados para melhorar a segurança. O WPA I foi rapidamente substituído pelo WPA2 e, mais recentemente, após a descoberta de falhas críticas de protocolo, a WiFi Alliance lançou o WPA3. O problema é que essa tecnologia mais recente ainda demora a se democratizar.
TKIP é o antigo método de criptografia usado pelo protocolo WPA.
AES é um padrão de criptografia forte usado, entre outros, pelo exército.
o modo de WPA/WPA2-PSK (TKIP+AES) não é, ao contrário da crença popular, o modo mais seguro disponível no seu roteador. Na verdade, é um modo híbrido que mistura as duas versões de WPA e protocolos de criptografia (TKIP e AES) para maior compatibilidade. No entanto, permite que os hackers aproveitem as vulnerabilidades do protocolo WPA I – sabendo que o protocolo WPA 2 também está vulnerável. E também permite explorar o TKIP, uma criptografia menos segura que o AES.
É por isso que, se seus dispositivos permitirem, recomendamos que você escolha o modo WPA2-PSK (AES) no seu roteador. Já que o WPA3 ainda demora a aparecer.
Altere o nome do SSID da sua rede
Por padrão, sua caixa de internet transmite um nome que trai sua origem. Por exemplo, se você tiver um Livebox, seu nome de rede WiFi padrão será algo como Livebox-F986. Cada operador tem seu apelido, e isso dá uma indicação importante para um hacker em potencial que vai buscar explorar uma falha em seu equipamento: se for um Bbox, Livebox, Freebox ou SFRbox, só falta testar as vulnerabilidades do modelos mais recentes.
Mas por que não tentar confundir todo mundo? Escolha um nome diferente – seja algo totalmente não relacionado ou algo como a caixa de outro operador. Isso realmente não melhorará sua segurança, mas definitivamente desperdiçará o tempo de um hacker em potencial.
Mantenha seu roteador atualizado
Escusado será dizer que, se houver falhas, os fabricantes tendem a corrigi-las e oferecer atualizações regulares. No entanto, a atualização nem sempre é automática em todos os modelos. Você deve, portanto, fazer login na sua área de administração.
Como fazer login na interface de administração do seu roteador
Dicas mais avançadas para proteger sua rede WiFi
Juntamente com os conselhos básicos, algumas ações permitirão que você aumente a segurança alguns pontos para reduzir qualquer risco de ataque.
Desativar WPS
WPS, para Wi-Fi Protected Setup, é uma tecnologia lançada pela Wi-Fi Alliance para simplificar a conexão de um dispositivo a uma rede Wi-Fi. pressione para validar o emparelhamento de um dispositivo à rede Wi-Fi, substituindo a senha. Mas existem vários métodos de conexão WPS. Um deles é baseado em um código PIN de oito dígitos – definido de fábrica, às vezes 12345678 é encontrado em modelos mais antigos.
Mas existem outras falhas em modelos mais recentes com outros modos de conexão WPS. Por exemplo, um ataque ao protocolo foi demonstrado em 2017 no Livebox 2 e 3 e Neufbox 4, 6 e 6V. A falha foi bastante preocupante, pois o invasor só precisava enviar um código PIN vazio para iniciar a conexão. Resumindo, se você não usa – muitos usuários nem sabem da existência desse recurso em seu roteador – desative-o através da interface de gerenciamento do seu box.
Ocultar o SSID
Para ir além, você pode optar por uma estratégia que visa tornar sua rede o mais discreta possível em um ambiente já saturado de inúmeras redes WiFi. Uma das dicas para isso é ocultar o nome da rede SSID. Isso significa que ele não aparecerá mais na lista de redes sem fio em computadores, smartphones e tablets.
No entanto, é possível descobrir a presença de uma rede oculta usando ferramentas especializadas, mas isso dificulta a penetração em sua rede sem fio, pois para se conectar a ela é absolutamente necessário saber o nome da rede e a chave. Novamente, isso não deve ser visto como uma medida de segurança real. Este é, na melhor das hipóteses, um obstáculo que desperdiçará um pouco de tempo para um hacker.
Para se conectar à sua rede, agora você terá que inserir manualmente seu nome, padrão de segurança e chave.
Como fazer login na interface de administração do seu roteador
Reduza a força do sinal e, portanto, seu alcance
Infelizmente, nem todos os roteadores permitem isso, mas uma das melhores maneiras de tornar sua rede menos vulnerável a ataques é reduzir a força do sinal WiFi. Torna-se então muito mais difícil conectar fora de suas paredes, sendo a conexão mais fraca.
Na mesma linha, opte, se seus dispositivos forem compatíveis, por uma única rede WiFi de 5 GHz (e desative a rede de 2.4 GHz): quanto mais alto você for no espectro de ondas de rádio, mais facilmente o sinal será bloqueado por paredes. Também recomendamos que você desative a rede Wi-Fi, se possível, quando sair de casa por longos períodos de tempo – por exemplo, quando sair de férias.
Como fazer login na interface de administração do seu roteador
Dê uma olhada na lista de clientes conectados de tempos em tempos
Vá de vez em quando dar uma olhada nas páginas de administração do seu roteador para consultar a lista de dispositivos conectados. Tente verificar se todos os dispositivos estão entre os permitidos. Para fazer isso, você pode se ajudar, entre outras coisas, com o endereço MAC de seus dispositivos, o que possibilita adivinhar a marca do dispositivo. Este site permite que você encontre muitas informações de endereços MAC:
- macvendors.com
Leia também: Como verificar se alguém está roubando seu WiFi e como se proteger
Escolha um login/senha diferente para a administração do seu roteador
Imagine que um intruso consiga entrar na sua rede sem o seu conhecimento e alterar a configuração do seu roteador para reduzir o risco de ser descoberto ou realizar um ataque. É por isso que é altamente recomendável alterar o nome de usuário e a senha padrão do roteador, mesmo que sua interface de gerenciamento seja acessível apenas a partir de sua rede. Se o login/senha em questão for Admin/Senha (geralmente é isso ou algo assim), altere-o com urgência.
Como fazer login na interface de administração do seu roteador
Métodos complicados que não recomendamos (e por quê)
Além disso, existem métodos que lemos em outros lugares da rede e que devem ser evitados, porque complicam desnecessariamente o uso da rede WiFi (e, portanto, provavelmente serão abandonados rapidamente) e/ou porque não melhorar a segurança real de sua rede WiFi, além de tornar sua conexão menos estável.
filtragem de endereços mac: experimentá-lo é odiá-lo
Frequentemente recomendado, a filtragem de endereços Mac deve ser evitada por dois motivos. A primeira, provavelmente a mais importante, é que é possível manipular esse endereço, que foi pensado inicialmente como uma espécie de marca d'água eletrônica. Um intruso será, portanto, capaz de força bruta encontrar endereços mac autorizados e fingir ser um dispositivo válido.
A segunda é que cada vez que você tiver convidados, precisará recuperar o endereço mac deles e colocá-los na lista de dispositivos autorizados para conectá-los ao WiFi. Estamos apostando que não vai te divertir por mais de dois minutos!
Instale uma VPN no roteador doméstico
Vimos em outros arquivos sobre o assunto alguns conselhos para configurar uma VPN no seu roteador. Acreditamos que este conselho é uma distorção de outro sábio: usar uma VPN ao se conectar a redes WiFi públicas. A ideia é criptografar o tráfego entre sua máquina e o resto da rede, dificultando os ataques man-in-the-middle.
Mas em casa, falamos de uma rede privada – um local onde o risco desse tipo de ataque é muito baixo (especialmente se você seguir os conselhos acima). Além disso, além de ajudá-lo a se conectar à Netflix dos EUA em todos os seus dispositivos da casa, configurar uma rede VPN em seu roteador (em vez de seus dispositivos) não adicionará absolutamente nenhuma segurança à sua rede WiFi.
Finalmente, tendo testado a coisa em vários modelos de roteadores (notadamente Netgear com firmware Voxel ou DD-WRT…), isso tende a tornar a conexão instável com cortes bastante frequentes, que podem durar vários minutos a cada vez. Você então corre o risco de ser uma das pessoas mais odiadas da sua casa, identificada como aquela “que sempre apodrece a conexão de internet com seus hacks” e que, francamente, acredite, não é legal (não sei de nada!).
Leia também: Como mudar automaticamente para o Wi-Fi mais forte no seu dispositivo Android
Você conhece alguma outra dica para tornar sua rede WiFi mais segura? Compartilhe sua opinião nos comentários!
