Conhecendo o OpenWRT: Roteador Livre, Seguro e Privativo

Transcript

1. None

2. Sobre mim Douglas Esteves UNICAMP - Centro de Computação Presidente

   do Laboratório Hacker de Campinas (LHC) Blog : douglasesteves.eng.br Twitter : @_DouglasEsteves Mastodon: chaos.social/@_DouglasEsteves

3. Caio Volpato (caioau) Formado em matemática aplicada e computacional. Diretor

   executivo na casa hacker. Twitter: @caioauv Pagina pessoal: caioau.keybase.pub PGP: 210B C5A4 14FD 9274 6B6A 250E EFF5 B2E1 80F2 94CE

4. Casa Hacker A casa hacker é um espaço hacker sem

   fins lucrativos com a missão de garantir a emancipação tecnológica das comunidades. Iniciativas mais recentes: • Livro de atividades de tratamento de Dados • Guia do eleitor Website: casahacker.org Redes sociais: @casahacker Mastodon: @[email protected]

5. Laboratório Hacker de Campinas Laboratório de Eletrônica Marcenaria Cozinha Salão

   para encontros e eventos Ferramentas Churrasqueira! Pessoas com os mais variados interesses! https://lhc.net.br

6. Diversas notícias

7. None
8. None

9. Relatório sobre roteadores https://www.fkie.fraunhofer.de/en/press-releases/Home-Router.html 2020 testado tipos de 127 roteadores

   doméstico

10. https://cert.br/stats/incidentes/ Ataques mais comuns • Ataque em contas • e-mails

    • ssh e telnet • Câmeras IP • Smartphones • Smart TVs • Roteadores

11. Motivações financeiras Custos de equipamentos

12. Curiosidade https://www.insecam.org/

13. • Mais de 650 dispositivos suportados • Código Aberto •

    Criado para substituir o firmware padrão dos roteadores • Comunidade ativa • Customização da build (Você pode melhorar e incluir bibliotecas e softwares) • Suporte com diversas arquiteturas • Promissora para aplicações IoT Linux embarcado openwrt.org

14. Funcionalidades Instalar mais softwares em seu roteador. VPN MQTT Teste

    de velocidade de Internet Softwares personalizados Client BitTorrent

15. Vantagens Customização Dicas de segurança Atualizações Comunidades com bons feedbacks

    Suporte a diversos equipamentos

16. Observações sobre o OpenWRT - Novas versões mínimo de 16MB

    RAM - Não tem suporte para todos os roteadores - Garantia do fabricante - Suporte apenas da comunidade

17. openwrt.org

18. None
19. None

20. Download do firmware! - Cuidados - Confirmar versão do equipamento

21. openwrt.org

22. https://openwrt.org/toh/raspberry_pi_foundation/raspberry_pi

23. Firmware https://openwrt.org/toh/raspberry_pi_foundation/raspberry_pi

24. None
25. None

26. Atualizando o firmware

27. Usuário de administração 192.168.1.1

28. Dica para uma senha não tradicional

29. None

30. ❏ System ❏ Administration

31. Instalando Softwares

32. Mão na massa! Photo by Mariana Vusiatytska

33. VM com OpenWRT https://bit.ly/3e39eqP

34. None

35. DNS criptografado: DoT e DoH As operadoras sabem que você

    conectou no facebook, mas como a maioria dos sites atualmente tem https, a ISP não sabe o que fez no site. O DNS criptografado tem o objetivo de que a operadora não saiba mais que o cliente conectou em determinado site. Temos 2 tecnologias mais populares atualmente: • DNS over https (DoH): RFC8484, porta 443 (TCP) • DNS over TLS (DoT): RFC7858, porta 853 (TCP)

36. DNS criptografado: Como usar? Para utilizar o DNS criptografado existem

    as opções: • Só usar firefox :P -> DNS sobre HTTPS no Firefox | Ajuda do Firefox • No Android >= 9 (Pie) existe a opção de “DNS privado” (DoT). • No openwrt dá pra usar através do unbound ou stubby (DoT). ◦ guide Provedores: privacytools.io/providers/dns • CloudFlare (1.1.1.1) • NextDNS: PiHole como serviço :P permite customizar a lista de domínios bloqueados (adblock), e consultar quais domínios foram conectados.

37. DNS criptografado: Funciona mesmo? SIM! E está incomodando as ISPs

    no mundo todo! (UK) Internet group brands Mozilla 'internet villain' for supporting DNS privacy feature (US) Why big ISPs aren’t happy about Google’s plans for encrypted DNS

38. Bloqueador de anúncios e rastreadores Para bloquear os anúncios e

    rastreadores, conforme mencionado pode ser utilizado o NextDNS (ou outro provedor que bloqueia ads). Outra opção para não depender de terceiros é bloquear diretamente no OpenWRT: Ad blocking: Documentação do pacote adblock (com interface web: pacote luci-app-adblock) Outra opção é utilizar o famigerado Pi-hole

39. adblock: reforçando o bloqueio Até então nossos esforços para bloquear

    propagandas e rastreadores funcionarão apenas se seus dispositivos usarem o DNS da rede. Muitos fabricantes de celulares Android vão utilizar o DNS do google (8.8.8.8), desviando nossos bloqueios. No firewall do openwrt podemos forçar a utilizar o DNS do roteador: edite o /etc/firewall.user com iptables -t nat -A PREROUTING -i br-lan -p udp --dport 53 -j DNAT --to-destination 192.168.1.1 iptables -t nat -A PREROUTING -i br-lan -p tcp --dport 53 -j DNAT --to-destination 192.168.1.1 iptables -t nat -I PREROUTING -i br-lan -p tcp -s 192.168.1.1 --dport 53 -j ACCEPT iptables -t nat -I PREROUTING -i br-lan -p udp -s 192.168.1.1 --dport 53 -j ACCEPT

40. Documentação do projeto : openwrt.org

41. https://discourse.lhc.net.br/ • Contribuir • Tirar dúvidas

42. https://forum.openwrt.org/ Contribuir Tirar dúvidas

43. Referências https://nic.br/ https://www.cert.br/csirts/brasil/ http://openwrt.org/ https://casahacker.org/ http://lhc.net.br/