Atualmente, todos os sistemas operacionais têm um pré-instalado firewall, mas em muitos casos, não o temos ativado ou não o temos configurado corretamente. Os roteadores que são o cérebro de toda a rede também possuem um firewall pré-instalado e ativado, baseado principalmente em iptables, pois a grande maioria dos firmwares são baseados em Linux. Hoje, neste artigo, vamos mostrar quais opções de configuração podemos encontrar em um firewall para roteadores, usando ASUS roteadores e também AVM FRITZ! Box, dois fabricantes cujo firmware é realmente completo e nos permite grande configurabilidade.
Um aspecto muito importante que devemos levar em consideração é que, quando temos o firewall do roteador ativado, também é altamente recomendável ter um firewall nos PCs, embora isso não seja totalmente necessário, pois estamos em um ambiente NAT; Internet Eles podem acessar nosso equipamento sem abrir uma porta anteriormente para o nosso PC ou abrir diretamente a DMZ no nosso PC. Neste último caso, é altamente recomendável ter um firewall instalado e configurado no seu PC, pois ele estará completamente acessível na Internet.
Para que serve um firewall em um roteador?
Graças aos firewalls, poderemos permitir ou bloquear o tráfego de entrada e saída através das diferentes interfaces do roteador, tanto na WAN quanto na LAN. No entanto, a grande maioria dos usuários deseja ter um firewall na WAN da Internet para controlar o tráfego de fora para o próprio roteador.
Um firewall em um roteador nos permitirá bloquear qualquer tentativa de acessar uma porta específica no roteador, ou seja, se abrirmos a porta TCP 22 do SSH, podemos limitar o número de conexões simultâneas, o número de conexões no roteador. durante um certo período de tempo, e podemos até permitir que apenas um determinado endereço IP acesse o servidor SSH do roteador.
Um aspecto muito importante dos firewalls de um roteador é que, por padrão, todas as comunicações iniciadas no exterior (na Internet) são rejeitadas (DROP), caso não tenham sido especificamente permitidas antes, portanto, a política de "negar tudo" é a mais recomendado.
Os computadores na LAN estão sempre atrás do NAT
Atualmente, com redes IPv4, usamos NAT / PAT, para que, com o mesmo endereço IP público, todos os computadores que temos na LAN possam acessar a Internet. Um detalhe importante é que todas as comunicações que são feitas do equipamento LAN para a Internet são permitidas, ou seja, um soquete é aberto no PC e flui para o destino, e na tabela NAT teremos a tradução que realizamos do IP privado para o IP público, para que, quando o pacote retornar, ele possa ser redirecionado corretamente ao seu destino.
Se a partir da Internet, tentamos iniciar a comunicação com um computador LAN, não podemos diretamente, a menos que:
- Configuramos um encaminhamento de porta (portas abertas) no roteador para esse PC.
- Configuramos a DMZ para o IP privado do PC em questão.
Portanto, qualquer comunicação da Internet para a LAN é bloqueada por padrão. Além disso, é altamente recomendável sempre desabilitar o protocolo UPnP, para que os dispositivos não possam abrir uma porta no NAT do roteador e ficar mais protegidos. Existem certos dispositivos que abrem uma porta permanentemente no roteador, como algumas câmeras IP, e que seriam facilmente acessíveis pela Internet.
Opções de configuração de firewall nos roteadores ASUS
Os roteadores ASUS incorporam um firewall baseado em iptables, para que possamos usar todo o poder desse firewall através da linha de comando, via telnet ou SSH. No entanto, também temos certas opções de configuração disponíveis no próprio roteador, para que um usuário com conhecimento básico não precise "tocar" no firewall interno.
No menu “Firewall”, podemos ativar ou desativar o firewall com base em iptables para redes IPv4 e também redes IPv6, a configuração padrão é que em ambos os protocolos temos o firewall ativado, conforme recomendado pela segurança. A ASUS nos permite configurar um sistema anti-ataque DoS em redes IPv4, bloqueando o endereço IP de origem se você fizer várias tentativas de conexão, a fim de mitigar esse tipo de ataque.
Outro recurso interessante é a possibilidade de bloquear qualquer ping (solicitação de eco ICMP) feita na porta WAN da Internet, isso permitirá que, se alguém da Internet executar um ping, ele será bloqueado automaticamente (DROP).
O firewall para IPv6 está em um estado de bloqueio total; nesse caso, a operação é um pouco diferente, pois também afetaria os computadores na LAN. Nas redes IPv6, não temos NAT, mas os PCs têm um endereço IPv6 global-unicast, ou seja, um IP público para cada computador, mas logicamente estaremos protegidos pelo firewall do roteador, onde por padrão todas as comunicações recebidas (do A Internet para o PC com IP público) está bloqueada, mas permite que qualquer comunicação de saída tenha conectividade sem problemas.
Uma opção muito interessante para roteadores ASUS é o “filtro LAN to WAN”. Indicamos anteriormente que os firewalls permitem controlar o tráfego da Internet para o roteador e para a LAN e vice-versa, da LAN para a Internet. Nesse caso, poderemos configurar o firewall para bloquear a saída dos pacotes para a WAN da LAN, basta inserir o endereço IP de origem, destino e portas, para adicionar essa regra ao firewall e bloqueie os pacotes de saída.
Embora ainda não o tenhamos visto, a filtragem de URL e palavra-chave também faz uso do firewall, mas com um trabalho anterior de resolução de nomes e verificação de tráfego.
Opções de configuração do firewall no AVM FRITZ! Roteadores de caixa
No caso dos roteadores AVM, também temos um firewall razoavelmente configurável. Para acessar o firewall, precisamos ir ao menu com três pontos verticais e selecionar "Visualização avançada". No menu principal, vamos para « Internet / Filtros «, Nesta seção, teremos tudo relacionado ao firewall e à QoS.
Na guia "Listas", é onde podemos ativar o firewall no modo furtivo, para não responder com a resposta de eco a qualquer solicitação de eco enviada à porta WAN. Outras opções de configuração interessantes estão bloqueando a porta 25, que é a típica usada para enviar e-mails sem criptografia, o AVM nos permite bloqueá-la diretamente para nos proteger. Também podemos ativar a filtragem NetBIOS e até o Teredo, ou seja, se não usarmos esses serviços, é melhor bloqueá-los por segurança.
Embora não seja o firewall em si, estar em um ambiente NAT pode ser o caso de termos portas abertas que não estamos realmente usando. É sempre altamente recomendável fechar qualquer tipo de porta que não esteja em uso, pois pode ser o gateway para cibercriminosos.
O mesmo acontece com o FRITZ! Serviços Box, se não queremos “localizar” o router e aceder remotamente através do seu IP público, o melhor que podemos fazer é desactivar este acesso, lembre-se que também podemos aceder através do VPN e acesse o IP privado do gateway padrão.
Como você pode ver, podemos criar várias conexões VPN, VPN de acesso remoto e VPN site a site com esses roteadores AVM, todos sempre usando o protocolo IPsec, atualmente ele não suporta o OpenVPN ou o Wireguard.
Portanto, é altamente recomendável que, se nosso roteador tiver serviços acessíveis à Internet, apenas “exporemos” aqueles que iremos usar, e não todos, porque, por segurança, é sempre necessário ter todas as portas fechadas e bloqueadas. , exceto aqueles que não temos escolha a não ser abrir.
É necessário ter um firewall no meu PC?
Todos os PCs possuem um firewall ativado por padrão, e com diferentes perfis que podemos configurar muito facilmente. No caso de Windows 10, temos um total de três perfis com diferentes permissões para permitir / negar tráfego, especificamente temos “Rede de domínio”, “Rede privada” e “Rede pública”. Geralmente, sempre usaremos esses dois últimos.
A configuração do firewall em "Rede privada" é para aceitar conexões de entrada, uma vez que estamos em um ambiente confiável, a configuração do firewall em "Rede pública" é para rejeitar conexões de entrada se não tivermos feito a comunicação anteriormente.
Preciso ter um firewall ativado no meu computador desktop? Devemos ter em mente que estamos sempre (ou quase sempre) trabalhando em um ambiente NAT, portanto, não há porta aberta no roteador por padrão. No caso de abertura da DMZ, o uso do firewall é essencial e também no modo «Rede pública» para bloquear qualquer conexão de entrada que não tenhamos feito anteriormente. Nos casos em que não temos nenhuma porta aberta, o firewall do Windows nos protege apenas de conexões via LAN, porque eles simplesmente não podem nos acessar da Internet porque não abriram nenhuma porta (embora você deva garantir que o UPnP seja o roteador você desativou).
Se quisermos entrar no firewall avançado do Windows, basta clicar em "Configurações avançadas" no menu principal do firewall e obteremos este menu onde podemos adicionar regras diferentes:
Por padrão, um grande número de programas que usamos todos os dias tem permissão para aceitar conexões. Se quisermos adicionar uma nova regra, clique em "Nova regra" no menu superior direito. Também podemos fazer a mesma configuração para as regras de saída.
Como você viu, é muito importante ter o firewall do roteador ativado e bem configurado, outro aspecto importante em relação ao NAT / PAT, é não ter nenhuma porta aberta se não o estivermos usando, muito menos ativar a DMZ em nosso PC, porque isso representa um alto risco, pois todas as portas estão abertas, exceto aquelas especificamente abertas para outros computadores.
