Os roteadores domésticos têm interfaces diferentes, por um lado, temos a interface LAN e WLAN, onde conectamos todos os equipamentos na rede local doméstica, via cabo ou Wi-Fi, respectivamente. Também temos a interface WAN, que é a porta da Internet e está associada ao endereço IP público. Uma boa maneira de permanecer “oculto” na Internet é bloquear qualquer tipo de solicitação ICMP e não atender, dessa forma, se alguém fizer o “ping” típico do nosso IP, ele não responderá e precisará fazer uma Escaneamento de portas para descobrir se o host (nosso roteador) está ativo.
Normalmente firewall sistemas operacionais orientados, como pfSense ou OPNSense, vêm com todo o tráfego bloqueado por padrão, isso significa que se alguém tentar pingar de fora do nosso IP público, eles irão automaticamente descartar o pacote. Existem roteadores domésticos e de operadora que nos permitem configurar seu firewall, e ainda temos uma opção específica para bloquear o ping na WAN de Internet.
Devemos lembrar que não é recomendável bloquear todos os ICMPs, mas apenas aqueles que correspondem ao "ping", ou seja, a solicitação de eco do ICMP (solicitação) e a resposta de eco do ICMP (resposta). Alguns tipos de ICMP são essenciais para o bom funcionamento da rede, especialmente se você trabalha com redes IPv6.
O que acontece se bloquearmos o ping na WAN da Internet?
Tudo continuará funcionando como sempre, a única diferença é que, se alguém de fora (da Internet) nos enviar um ping para o nosso endereço IP público, o roteador não responderá. Dependendo de como configuramos o roteador, é possível que, mesmo com uma varredura de porta, ele não possa ser detectado se o host (o roteador) estiver ativo ou não. Se não tivermos nenhum serviço em execução no roteador voltado para a WAN e não tivermos nenhuma porta aberta no roteador, por padrão todas as portas serão fechadas e, do lado de fora, elas não poderão se comunicar conosco. assim, poderíamos passar «despercebidos», é o que se chama segurança pela escuridão.
Embora tenhamos desabilitado o ping na WAN da Internet, poderemos pingar hosts da Internet sem nenhum problema, sem ter que abrir portas ou fazer absolutamente nada, pois a única coisa que estamos fazendo com isso é bloquear no firewall do roteador qualquer Solicitação de eco ICMP que chega até nós. Roteadores normalmente usam Linux sistema operacional dentro para funcionar, e fazer uso do iptables, a regra que eles incorporam é a seguinte:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Esta regra bloqueia qualquer ICMP do tipo de solicitação de eco que vá diretamente para o roteador, o -j DROP indica que eliminará diretamente o referido pacote sem "dizer" nada para o qual foi enviado, ou seja, descartamos o pacote.
Um aspecto muito importante é que devemos sempre bloquear o ping na WAN, mas não na LAN, pois se bloquearmos o ping na LAN, não poderemos executar ping no gateway padrão do computador (que é o roteador), para detectar qualquer falha possível.
Embora muitos modelos e marcas de roteadores suportem o bloqueio de ping na WAN da Internet, hoje, neste artigo, daremos dois exemplos de como bloquear o ping na WAN em ASUS roteadores e também em qualquer roteador do fabricante AVM FRITZ! Box.
Bloquear ping (solicitação de eco ICMP) em roteadores ASUS
Nos roteadores ASUS, tanto no firmware do fabricante quanto no Asuswrt-Merlin, o processo é exatamente o mesmo. Temos de ir ao menu de configuração do firmware, no " Firewall / Geral ”E configure o firewall da seguinte maneira:
- Deseja ativar o firewall: Sim
- Deseja ativar a proteção contra DoS: Sim
- Tipo de pacote registrado: nenhum. Se quisermos depurar todos os pacotes que passam pelo firewall, podemos fazê-lo, mas não é recomendável sempre ativá-lo, pois consumirá recursos do roteador.
- Deseja responder à solicitação de ping da WAN: Não.
Como você viu, é realmente fácil desativar o ping da WAN da Internet. Quanto à configuração do IPv6, o roteador ASUS tem algum tráfego de entrada bloqueado, portanto, você deve permitir explicitamente no menu de configuração.
Bloquear ping (solicitação de eco ICMP) no AVM FRITZ! Roteadores de caixa
Nos roteadores do fabricante alemão AVM, também podemos bloquear o ping típico na WAN da Internet. Para isso, precisamos ir ao menu principal do roteador. Na parte superior direita, onde os três pontos verticais aparecem, clique em " Modo avançado ”Para ter todas as opções de configuração.
Feito isso, vamos para « Internet / Filtros / Listas «, E descemos até encontrar a opção« Firewall no modo furtivo «. Ativamos e clique em aplicar alterações.
Essa opção permite que você rejeite todas as solicitações da Internet, como explicamos, e está ao alcance de todos.
Graças a esse bloco de ping na WAN da Internet, para localizar nosso host (roteador) na Internet, eles devem executar uma verificação de porta para verificar se temos algum serviço em execução, seja no roteador ou em algum servidor NAS da nossa rede. local.