Pro Yearly is on sale from $80 to $50! »

Conhecendo o OpenWRT: Roteador Livre, Seguro e Privativo

Conhecendo o OpenWRT: Roteador Livre, Seguro e Privativo

Maximize a segurança e a privacidade da sua conexão.
Não usar conexões Wi-Fi alheiros e públicas faz parte de hábitos saudáveis de privacidade e segurança on-line. Na última edição do Detox de Dados abordamos essas e outras dicas quentes que você confere no nosso canal do YouTube, livre e aberto.

Agora vamos problematizar nossos roteadores. A Internet passa por um longo caminho até chegar em nossas casas e normalmente é distribuída por um roteador que tem a missão de fazê-la chegar em nossos dispositivos seja por meio do cabo Ethernet ou sem fio por meio da tecnologia Wi-Fi. Acontece que os roteadores mais comuns disponíveis no mercado ou fornecidos pelos provedores de Internet possuem firmwares com configurações limitadas, potenciais softwares de vigilância, tem falhas de segurança, faltam pacotes regulares de manutenções e atualizações dos firmwares, e ainda não oferecem a possibilidade de usar extensões e complementos que podem dar novas funcionalidades e utilidades ao roteador.

Neste curso, você aprenderá a trocar o firmware do seu roteador para uma solução moderna, personalizável, segura, estável e de código aberto, o OpenWrt.

Este curso é gratuito, on-line e interativo.

https://casahacker.org/troqueseufirmware

8e8baeb098b3d5369b27ffc2c1eedbfd?s=128

Douglas Esteves

October 27, 2020
Tweet

Transcript

  1. None
  2. Sobre mim Douglas Esteves UNICAMP - Centro de Computação Presidente

    do Laboratório Hacker de Campinas (LHC) Blog : douglasesteves.eng.br Twitter : @_DouglasEsteves Mastodon: chaos.social/@_DouglasEsteves
  3. Caio Volpato (caioau) Formado em matemática aplicada e computacional. Diretor

    executivo na casa hacker. Twitter: @caioauv Pagina pessoal: caioau.keybase.pub PGP: 210B C5A4 14FD 9274 6B6A 250E EFF5 B2E1 80F2 94CE
  4. Casa Hacker A casa hacker é um espaço hacker sem

    fins lucrativos com a missão de garantir a emancipação tecnológica das comunidades. Iniciativas mais recentes: • Livro de atividades de tratamento de Dados • Guia do eleitor Website: casahacker.org Redes sociais: @casahacker Mastodon: @casahacker@masto.donte.com.br
  5. Laboratório Hacker de Campinas Laboratório de Eletrônica Marcenaria Cozinha Salão

    para encontros e eventos Ferramentas Churrasqueira! Pessoas com os mais variados interesses! https://lhc.net.br
  6. Diversas notícias

  7. None
  8. None
  9. Relatório sobre roteadores https://www.fkie.fraunhofer.de/en/press-releases/Home-Router.html 2020 testado tipos de 127 roteadores

    doméstico
  10. https://cert.br/stats/incidentes/ Ataques mais comuns • Ataque em contas • e-mails

    • ssh e telnet • Câmeras IP • Smartphones • Smart TVs • Roteadores
  11. Motivações financeiras Custos de equipamentos

  12. Curiosidade https://www.insecam.org/

  13. • Mais de 650 dispositivos suportados • Código Aberto •

    Criado para substituir o firmware padrão dos roteadores • Comunidade ativa • Customização da build (Você pode melhorar e incluir bibliotecas e softwares) • Suporte com diversas arquiteturas • Promissora para aplicações IoT Linux embarcado openwrt.org
  14. Funcionalidades Instalar mais softwares em seu roteador. VPN MQTT Teste

    de velocidade de Internet Softwares personalizados Client BitTorrent
  15. Vantagens Customização Dicas de segurança Atualizações Comunidades com bons feedbacks

    Suporte a diversos equipamentos
  16. Observações sobre o OpenWRT - Novas versões mínimo de 16MB

    RAM - Não tem suporte para todos os roteadores - Garantia do fabricante - Suporte apenas da comunidade
  17. openwrt.org

  18. None
  19. None
  20. Download do firmware! - Cuidados - Confirmar versão do equipamento

  21. openwrt.org

  22. https://openwrt.org/toh/raspberry_pi_foundation/raspberry_pi

  23. Firmware https://openwrt.org/toh/raspberry_pi_foundation/raspberry_pi

  24. None
  25. None
  26. Atualizando o firmware

  27. Usuário de administração 192.168.1.1

  28. Dica para uma senha não tradicional

  29. None
  30. ❏ System ❏ Administration

  31. Instalando Softwares

  32. Mão na massa! Photo by Mariana Vusiatytska

  33. VM com OpenWRT https://bit.ly/3e39eqP

  34. None
  35. DNS criptografado: DoT e DoH As operadoras sabem que você

    conectou no facebook, mas como a maioria dos sites atualmente tem https, a ISP não sabe o que fez no site. O DNS criptografado tem o objetivo de que a operadora não saiba mais que o cliente conectou em determinado site. Temos 2 tecnologias mais populares atualmente: • DNS over https (DoH): RFC8484, porta 443 (TCP) • DNS over TLS (DoT): RFC7858, porta 853 (TCP)
  36. DNS criptografado: Como usar? Para utilizar o DNS criptografado existem

    as opções: • Só usar firefox :P -> DNS sobre HTTPS no Firefox | Ajuda do Firefox • No Android >= 9 (Pie) existe a opção de “DNS privado” (DoT). • No openwrt dá pra usar através do unbound ou stubby (DoT). ◦ guide Provedores: privacytools.io/providers/dns • CloudFlare (1.1.1.1) • NextDNS: PiHole como serviço :P permite customizar a lista de domínios bloqueados (adblock), e consultar quais domínios foram conectados.
  37. DNS criptografado: Funciona mesmo? SIM! E está incomodando as ISPs

    no mundo todo! (UK) Internet group brands Mozilla 'internet villain' for supporting DNS privacy feature (US) Why big ISPs aren’t happy about Google’s plans for encrypted DNS
  38. Bloqueador de anúncios e rastreadores Para bloquear os anúncios e

    rastreadores, conforme mencionado pode ser utilizado o NextDNS (ou outro provedor que bloqueia ads). Outra opção para não depender de terceiros é bloquear diretamente no OpenWRT: Ad blocking: Documentação do pacote adblock (com interface web: pacote luci-app-adblock) Outra opção é utilizar o famigerado Pi-hole
  39. adblock: reforçando o bloqueio Até então nossos esforços para bloquear

    propagandas e rastreadores funcionarão apenas se seus dispositivos usarem o DNS da rede. Muitos fabricantes de celulares Android vão utilizar o DNS do google (8.8.8.8), desviando nossos bloqueios. No firewall do openwrt podemos forçar a utilizar o DNS do roteador: edite o /etc/firewall.user com iptables -t nat -A PREROUTING -i br-lan -p udp --dport 53 -j DNAT --to-destination 192.168.1.1 iptables -t nat -A PREROUTING -i br-lan -p tcp --dport 53 -j DNAT --to-destination 192.168.1.1 iptables -t nat -I PREROUTING -i br-lan -p tcp -s 192.168.1.1 --dport 53 -j ACCEPT iptables -t nat -I PREROUTING -i br-lan -p udp -s 192.168.1.1 --dport 53 -j ACCEPT
  40. Documentação do projeto : openwrt.org

  41. https://discourse.lhc.net.br/ • Contribuir • Tirar dúvidas

  42. https://forum.openwrt.org/ Contribuir Tirar dúvidas

  43. Referências https://nic.br/ https://www.cert.br/csirts/brasil/ http://openwrt.org/ https://casahacker.org/ http://lhc.net.br/