Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Conhecendo o OpenWRT: Roteador Livre, Seguro e ...

Conhecendo o OpenWRT: Roteador Livre, Seguro e Privativo

Maximize a segurança e a privacidade da sua conexão.
Não usar conexões Wi-Fi alheiros e públicas faz parte de hábitos saudáveis de privacidade e segurança on-line. Na última edição do Detox de Dados abordamos essas e outras dicas quentes que você confere no nosso canal do YouTube, livre e aberto.

Agora vamos problematizar nossos roteadores. A Internet passa por um longo caminho até chegar em nossas casas e normalmente é distribuída por um roteador que tem a missão de fazê-la chegar em nossos dispositivos seja por meio do cabo Ethernet ou sem fio por meio da tecnologia Wi-Fi. Acontece que os roteadores mais comuns disponíveis no mercado ou fornecidos pelos provedores de Internet possuem firmwares com configurações limitadas, potenciais softwares de vigilância, tem falhas de segurança, faltam pacotes regulares de manutenções e atualizações dos firmwares, e ainda não oferecem a possibilidade de usar extensões e complementos que podem dar novas funcionalidades e utilidades ao roteador.

Neste curso, você aprenderá a trocar o firmware do seu roteador para uma solução moderna, personalizável, segura, estável e de código aberto, o OpenWrt.

Este curso é gratuito, on-line e interativo.

https://casahacker.org/troqueseufirmware

Douglas Esteves

October 27, 2020
Tweet

More Decks by Douglas Esteves

Other Decks in Technology

Transcript

  1. Sobre mim Douglas Esteves UNICAMP - Centro de Computação Presidente

    do Laboratório Hacker de Campinas (LHC) Blog : douglasesteves.eng.br Twitter : @_DouglasEsteves Mastodon: chaos.social/@_DouglasEsteves
  2. Caio Volpato (caioau) Formado em matemática aplicada e computacional. Diretor

    executivo na casa hacker. Twitter: @caioauv Pagina pessoal: caioau.keybase.pub PGP: 210B C5A4 14FD 9274 6B6A 250E EFF5 B2E1 80F2 94CE
  3. Casa Hacker A casa hacker é um espaço hacker sem

    fins lucrativos com a missão de garantir a emancipação tecnológica das comunidades. Iniciativas mais recentes: • Livro de atividades de tratamento de Dados • Guia do eleitor Website: casahacker.org Redes sociais: @casahacker Mastodon: @[email protected]
  4. Laboratório Hacker de Campinas Laboratório de Eletrônica Marcenaria Cozinha Salão

    para encontros e eventos Ferramentas Churrasqueira! Pessoas com os mais variados interesses! https://lhc.net.br
  5. https://cert.br/stats/incidentes/ Ataques mais comuns • Ataque em contas • e-mails

    • ssh e telnet • Câmeras IP • Smartphones • Smart TVs • Roteadores
  6. • Mais de 650 dispositivos suportados • Código Aberto •

    Criado para substituir o firmware padrão dos roteadores • Comunidade ativa • Customização da build (Você pode melhorar e incluir bibliotecas e softwares) • Suporte com diversas arquiteturas • Promissora para aplicações IoT Linux embarcado openwrt.org
  7. Funcionalidades Instalar mais softwares em seu roteador. VPN MQTT Teste

    de velocidade de Internet Softwares personalizados Client BitTorrent
  8. Observações sobre o OpenWRT - Novas versões mínimo de 16MB

    RAM - Não tem suporte para todos os roteadores - Garantia do fabricante - Suporte apenas da comunidade
  9. DNS criptografado: DoT e DoH As operadoras sabem que você

    conectou no facebook, mas como a maioria dos sites atualmente tem https, a ISP não sabe o que fez no site. O DNS criptografado tem o objetivo de que a operadora não saiba mais que o cliente conectou em determinado site. Temos 2 tecnologias mais populares atualmente: • DNS over https (DoH): RFC8484, porta 443 (TCP) • DNS over TLS (DoT): RFC7858, porta 853 (TCP)
  10. DNS criptografado: Como usar? Para utilizar o DNS criptografado existem

    as opções: • Só usar firefox :P -> DNS sobre HTTPS no Firefox | Ajuda do Firefox • No Android >= 9 (Pie) existe a opção de “DNS privado” (DoT). • No openwrt dá pra usar através do unbound ou stubby (DoT). ◦ guide Provedores: privacytools.io/providers/dns • CloudFlare (1.1.1.1) • NextDNS: PiHole como serviço :P permite customizar a lista de domínios bloqueados (adblock), e consultar quais domínios foram conectados.
  11. DNS criptografado: Funciona mesmo? SIM! E está incomodando as ISPs

    no mundo todo! (UK) Internet group brands Mozilla 'internet villain' for supporting DNS privacy feature (US) Why big ISPs aren’t happy about Google’s plans for encrypted DNS
  12. Bloqueador de anúncios e rastreadores Para bloquear os anúncios e

    rastreadores, conforme mencionado pode ser utilizado o NextDNS (ou outro provedor que bloqueia ads). Outra opção para não depender de terceiros é bloquear diretamente no OpenWRT: Ad blocking: Documentação do pacote adblock (com interface web: pacote luci-app-adblock) Outra opção é utilizar o famigerado Pi-hole
  13. adblock: reforçando o bloqueio Até então nossos esforços para bloquear

    propagandas e rastreadores funcionarão apenas se seus dispositivos usarem o DNS da rede. Muitos fabricantes de celulares Android vão utilizar o DNS do google (8.8.8.8), desviando nossos bloqueios. No firewall do openwrt podemos forçar a utilizar o DNS do roteador: edite o /etc/firewall.user com iptables -t nat -A PREROUTING -i br-lan -p udp --dport 53 -j DNAT --to-destination 192.168.1.1 iptables -t nat -A PREROUTING -i br-lan -p tcp --dport 53 -j DNAT --to-destination 192.168.1.1 iptables -t nat -I PREROUTING -i br-lan -p tcp -s 192.168.1.1 --dport 53 -j ACCEPT iptables -t nat -I PREROUTING -i br-lan -p udp -s 192.168.1.1 --dport 53 -j ACCEPT