Siga este guia para garantir que seus dispositivos em rede estejam adequadamente isolados da Internet. Se você configurar tudo adequadamente, as pessoas não poderão encontrar seus dispositivos fazendo uma pesquisa no Shodan.
Proteja seu roteador
Em uma rede doméstica típica - supondo que você não tenha outros dispositivos conectados diretamente ao modem, seu roteador deve ser o único dispositivo conectado diretamente à Internet. Supondo que seu roteador esteja configurado corretamente, ele será o único dispositivo acessível a partir da Internet. Todos os outros dispositivos estão conectados ao seu roteador ou à sua rede Wi-Fi e só são acessíveis se o roteador permitir que eles estejam.
Primeiras coisas primeiro: Assegure-se de que seu próprio roteador esteja seguro. Muitos roteadores têm recursos de “administração remota” ou “gerenciamento remoto” que permitem que você faça login no roteador a partir da Internet e defina suas configurações. A grande maioria das pessoas nunca usará esse recurso, portanto, você deve garantir que ele esteja desativado. Se você tiver esse recurso ativado e tiver uma senha fraca, um invasor poderá fazer login no seu roteador remotamente. Você encontrará essa opção na interface da Web do seu roteador, se o seu roteador a oferecer. Se você precisar de gerenciamento remoto, assegure-se de alterar a senha padrão e, se possível, o nome de usuário também.
Verifique se o seu roteador está vulnerável a esta vulnerabilidade UPnP, visitando o ShieldsUP! website e executando o "Teste de Exposição Instantânea UPnP".
Se o seu roteador estiver vulnerável, você poderá corrigir esse problema atualizando-o com a versão mais recente do firmware disponível em seu fabricante. Se isso não funcionar, tente desativar o UPnP na interface do roteador ou comprar um novo roteador que não tenha esse problema. Certifique-se de executar novamente o teste acima após atualizar o firmware ou desabilitar o UPnP para garantir que o roteador esteja realmente seguro.
Garantir que outros dispositivos não sejam acessíveis
Garantir que suas impressoras, câmeras e outros dispositivos não sejam acessíveis pela Internet é bastante simples. Supondo que esses dispositivos estejam atrás de um roteador e não estejam diretamente conectados à Internet, você pode controlar se eles estão acessíveis no roteador. Se você não estiver encaminhando portas para seus dispositivos em rede ou colocando-os em uma DMZ, o que os expõe inteiramente à Internet, esses dispositivos só estarão acessíveis a partir da rede local.
Você também deve garantir que os recursos de encaminhamento de porta e DMZ não exponham seus computadores ou dispositivos de rede à Internet. Somente as portas de encaminhamento que você realmente precisa encaminhar e evitam o recurso da DMZ - um computador ou dispositivo na DMZ receberá todo o tráfego de entrada, como se estivesse conectado diretamente à Internet. Este é um atalho rápido que evita a necessidade de encaminhamento de porta, mas o dispositivo DMZ também perde os benefícios de segurança de estar por trás de um roteador.
Você também pode considerar não expor esses dispositivos na Internet e configurar uma VPN. Em vez de os dispositivos estarem diretamente conectados à Internet, eles estão conectados à rede local e você pode se conectar remotamente à rede local fazendo login na VPN. Você pode proteger um único servidor VPN com mais facilidade do que proteger vários dispositivos diferentes com seus próprios servidores da Web integrados.
Você também pode tentar mais soluções criativas. Se você precisar conectar-se remotamente a seus dispositivos a partir de um único local, poderá configurar regras de firewall no roteador para garantir que elas só possam ser acessadas remotamente a partir de um único endereço IP. Se você quiser compartilhar dispositivos como impressoras on-line, convém configurar algo como o Google Cloud Print, em vez de expô-los diretamente.
Bloqueie o seu Wi-Fi
Enquanto você está nisso, certifique-se de bloquear suas redes Wi-Fi.Os novos dispositivos conectados à rede, desde o dispositivo de streaming Chromecast TV do Google até lâmpadas com tecnologia Wi-Fi e tudo mais, geralmente tratam sua rede Wi-Fi como uma área segura. Eles permitem que qualquer dispositivo em seu Wi-Fi os acesse, use e configure. Eles fazem isso por um motivo óbvio - é mais fácil de usar para tratar todos os dispositivos na rede como confiáveis do que para solicitar aos usuários a autenticação em suas próprias casas. No entanto, isso só funciona bem se a rede Wi-Fi local for realmente segura. Se o seu Wi-Fi não é seguro, qualquer pessoa pode se conectar e seqüestrar seus dispositivos. Eles também podem procurar todos os arquivos que você compartilhou na rede também.
Certifique-se de ter configurações de criptografia Wi-Fi seguras ativadas em seu roteador doméstico. Você deve estar usando a criptografia WPA2 com uma senha bastante forte - idealmente uma senha razoavelmente longa, com números e símbolos, além das letras.
Quando tudo se resume a isso, esses são precatórios de segurança padrão. Você só precisa garantir que seus dispositivos estejam atualizados com os patches de segurança mais recentes, protegidos com senhas fortes e configurados com segurança.
Preste especial atenção à rede - o roteador não deve ser configurado para expor dispositivos na Internet, a menos que eles sejam configurados com segurança. Mesmo assim, convém conectar-se a eles remotamente por meio de uma VPN para obter segurança adicional ou garantir que eles estejam acessíveis apenas a partir de endereços IP específicos.
