Tal como acontece com todas as ferramentas, A Internet em si não é ruim nem boamas dependendo do uso que fazemos da ferramenta pode ser benéfico ou prejudicial para nós e para o nosso ambiente. Mas a Internet ainda é uma tecnologia recente, que cresceu muito nestes 22 anos (ou 32, se tomarmos como ponto de partida o lançamento do primeiro servidor WWW do mundo), tanto que até ultrapassou as pessoas. E por essa razão, a tecnologia da Internet oferece muitas possibilidadesmas também significa muitos perigosespecialmente para grupos de pessoas de pessoas mais velhas, mais jovens e pessoas que, em geral, não têm formação adequada na utilização de redes informáticas e segurança.
O que isto significa?
Bem, se uma pessoa tiver permissão para acessar livremente a Internet, sem qualquer conhecimento do que é a Internet e do que significa ser conectado a uma enorme rede de tamanho mundial e com todos os tipos de conteúdoessa pessoa você está exposto a acessar conteúdo impróprio, ofensivo ou assustadorou pode ser baixado e instalado software malicioso sem o seu conhecimento ou consentimento. Ou pior ainda, pode forneça suas informações pessoais a estranhos, que pode então ser usado contra você. Ou talvez espionado sem perceberespecialmente hoje em dia quando temos tudo conectado: smartphones, tablets, câmeras conectadas, microfones/alto-falantes conectados, outros aparelhos conectados, etc.
Razões para querer proteger sua rede doméstica
Assim como uma empresa ou organização pública protege (ou deveria proteger) suas redes corporativas para evitar acesso não autorizado, vazamento de dados ou bloquear o acesso de seus funcionários a determinados conteúdos, não é uma má ideia para um usuário doméstico fazer isso na rede. sua casa.
Os principais motivos geralmente são:
- Impeça o acesso à rede doméstica de invasores externos, por exemplo, acesso não autorizado à rede WiFi doméstica.
- Evite que seus familiares acessem determinados conteúdos, especialmente conteúdo adulto ou que possa ser perturbador.
- Uma boa razão é controlar o acesso de menores ou de pessoas muito idosas a determinados sítios da Internet.
- Evite publicidade na Internet, porque, embora em muitos casos seja legítima, em muitos outros casos pode ocultar Trojans que podem danificar o nosso equipamento informático e/ou roubar dados.
- Evite ser rastreado na rede.
- Bloqueie conteúdo malicioso, como páginas de phishing.
Isso pode ser feito instalando e configurando um firewall ou firewall em nossa rede doméstica, que atua como uma ponte entre a Internet e nossa rede doméstica.
Espere, o que é um firewall?
A firewall ou firewall (prefiro chamá-lo de firewall) é um dispositivo de rede que está situado (em um nível lógico) entre nosso cconexão com a internet e a rede interna da nossa casa e que analisa o tráfego da rede em tempo realser capaz Bloqueie ou conceda acesso a diferentes computadores na rede localde acordo com uma série de critérios ou regras que podem ser estabelecidas através da configuração.
Este é um diagrama gráfico do seu funcionando:
É basicamente um computador especializado que se conecta à rede local como se fosse outro computador, e que está configurado para que todo o tráfego da rede passa por eleDe maneira que eu possa monitore, analise e bloqueie ou conceda acesso em tempo real, de acordo com as regras que você configurou. Na verdade, em um ambiente corporativo, firewall é um dispositivo que não possui teclado, mouse ou tela, como pode ser visto nesta foto:
Mas atenção, a foto anterior mostra um firewall de nível empresarial, que tem um custo elevado e foi projetado para ser utilizado em redes corporativas de 100 ou mais computadores. Para uma casa seria como matar moscas com tiros de canhão. No nosso caso temos soluções mais económicas e práticas, como reciclar um PC antigo para que cumpra essa função, que veremos na próxima secção.
Como criar um firewall para proteger minha casa?
E aqui chegamos à questão principal deste artigo. Como posso criar um firewall para usar na minha rede doméstica? Quais requisitos ele deve ter? Quanto dinheiro isso pode me custar?
Em suma, a ideia é configurar um PC para usar como firewall. Então vou dividir este artigo em três pontos: escolha do hardwareescolha de Programas e processo de instalação e configuração, com exemplos.
Hardware
A escolha do hardware dependerá em grande parte nosso orçamento. Aqui temos duas opções: usar um computador antigo que temos em casa e que não utilizamos mais para nenhuma outra tarefa, ou você pode adquirir um Mini PC para este fim.
PC antigo
Se decidirmos usar um PC antigo, economizamos o custo de aquisição do hardware mas …
…a conta de luz pode disparar. Deve-se levar em conta que um firewall é como um roteador: deve ser conectado e ligado 24 horas por dia, 7 dias por semana, o que significa que se trata de um consumo adicional na conta de luz. A PC antigo consome mais que um PC moderno, já que seus componentes eletrônicos são menos eficientes. Isto é especialmente verdadeiro no caso de um PC de mesa, e ainda mais se for um PC que já foi muito poderoso e foi usado para jogos. Eles não apenas consomem mais, mas também Eles também geram calor, o que pode ser ruim no verão. E claro, há a desvantagem do espaço extra que eles usam, é claro.
Mini PC
Por outro lado, se decidirmos usar um Mini PCtemos o vantagem de terem um consumo de electricidade muito baixo, Eles ocupam muito pouco espaço e geram muito pouco calor. Mas é claro que existe o desvantagem que, em muitos casos, têm de adquirir. Se optarmos por esta opção, podemos obter um mini PC como o desta foto:
Eles ainda são PCs normais com umarquitetura x86, embora com desempenho reduzido em comparação com um laptop ou desktop normal, mas compensam com seu tamanho pequeno e baixo consumo. Além disso, para Usando-o como firewall, não precisamos de tanto poder de processamento.
Raspberry Pi
A Framboesa tem um consumo ridículo e é tão pequeno que pode ser “escondido” colocando-o próximo ao roteador. Esses dispositivos têm um preço que varia entre 100€ e 300€, mas não gastaria mais de 100€. Na verdade, é o que usei como firewall em minha casa.
Em resumo:
- Podemos usar um PC antigo existente, mas ele consome mais e ocupa mais espaço.
- Podemos adquirir um MiniPC ou um Raspberry, que consomem muito pouco e ocupam pouco espaço, mas requerem um pequeno investimento inicial.
Programas
O software que escolhemos para configurar nosso PC como um firewall, vai depender do hardware que escolhermos, embora já tenha mencionado que em nenhum caso será Windows: usaremos uma das muitas variantes do Linux que está no mercado, sendo o Debian o meu favorito.
Uma vez escolhido o sistema operacional, temos agora duas opções: realizar uma instalação totalmente manual do ambienteque inclui programar o software necessário do zero, ou podemos usar um pacote de software existente. Fiz as duas coisas: comprei um mini PC x86, instalei Debian, Apache (servidor web), Bind (servidor DNS) e programei eu mesmo uma interface em PHP. Fiquei assim por dois ou três anos com resultados muito bons, mas sou engenheiro de software e uma pessoa com muita curiosidade científica, e nem todo mundo tem tempo, paciência ou conhecimento tão avançado para fazer isso. Como queria fazer algumas adições no firewall (análise de dados de uso, logs e monitoramento), e não tinha tempo nem vontade de fazer desenvolvimentos adicionais, resolvi usar um Raspberry Pi que já tinha antes, e que Eu tinha adquirido para outros experimentos, instalei o PiHole, que é uma suíte que contém tudo: bloqueio de anúncios, DNS, DHCP, monitoramento e outras coisas que eu queria implementar no meu firewall anterior, e em uma tarde tive um novo firewall baseado na plataforma Raspberry Pi instalada e em execução.
Para este artigo vou me concentrar na preparação um firewall usando Raspberry Pi e PiHole.
O que é Pi-Hole?
PiHole é um software usado para configurar um PC como firewall de rede. Basicamente transforma seu PC em um servidor DNS qualquer Servidor de nomes de domínioque é o que traduz automaticamente URLs da Internet como www.google.com ou www.microsoft.com para seus respectivos endereços IP, como 44.55.66.77 ou 172.128.40.130, quando navegamos.
Isto permite que nosso PC com Pi-Hole pode interceptar navegações o que fazemos da nossa rede doméstica ou do escritório até a Internet e ttraduzir DNS localmente em vez do nosso provedor de serviços de Internet, podemos ter uma série de domínios em um lista negra então fazemos com que apontem para o endereço 0.0.0.0. Qualquer navegação para esses domínios na lista negra será abortada. Os restantes domínios que não estão na lista negra podem sair para a Internet através do DNS habitual (Google, CloudFlare ou Telefónica), que configuramos a partir do painel de controlo Pi-Hole. O PC com Pi-Hole é adicionado à rede como outro dispositivo e o Roteador é configurado para rotear a navegação através do Pi-Hole.
Também nos permite definir nossos próprios domínios e apontá-los para um servidor local, como faço com meus desenvolvimentos web para poder testá-los antes de publicá-los em um servidor público.
Preparar e configurar o firewall
Como expliquei no ponto anterior, vamosreparar um firewall usando um Raspberry PiO sistema operacional SO de framboesa, que é uma versão do Debian projetada especialmente para este mini-PC e PiHole, que é o software que o transforma em um firewall.
Hardware
No meu caso, usei um Raspberry Pi modelo 4, 4 GB de RAM. Isso me custou 100€incluindo o Pi, o adaptador de alimentação, um cabo HDMI e um gabinete com dissipador de calor ativo. Em princípio, isso nos ajuda qualquer modelo Raspberry Pi para isto. Por último, Precisamos de um cartão Micro SD com capacidade entre 32 e 64 gigabytes, que é o meio de armazenamento usado pelo Raspberry. Também precisaremos um leitor de cartão para gravar o sistema operacional no Micro SD do nosso PC. Se tivermos um laptop estamos com sorte: muitos vêm com leitor de cartão incluído. Se não, você terá que conseguir um.
Instalando o sistema operacional
A instalação do SO é extremamente simples, bastando vá para a página oficial do Raspberry Pi e baixe o software Raspberry Pi Imager, que é um pequeno programa usado para instale o sistema operacional Raspberry OS no microSD. No meu caso, baixei a versão para Windows.
Depois de baixado o programa, nós o instalamos, como qualquer outro programa do Windows. Depois de instalado, inserimos o cartão MicroSD no leitor e executamos o programa. Seremos apresentados a esta tela:
Primeiro passo
O processo é bastante simples: primeiro pressionamos o botão ESCOLHER SOque abrirá um menu onde podemos escolher o sistema operacional. Neste menu escolheremos Rapsberry OS, versão de 64 ou 32 bits. Se tivermos um Pi modelo 4, podemos escolher o sistema de 64 bits, mas se tivermos um modelo mais antigo ou não tivermos certeza, podemos escolher a versão de 32 bits. O próximo passo é escolher o armazenamento, com o segundo botão ESCOLHER ARMAZENAMENTO. Isso mostra uma lista de unidades de armazenamento do sistema. Se o cartão SD estiver inserido, este já deverá aparecer como a primeira opção selecionada. Neste ponto É importante garantir que escolhemos a unidade correta.
Segundo passo
Uma vez escolhido, o botão será ativado ESCREVER. Ao pressionar este botão, o sistema operacional será gravado no cartão. Quando terminado, Você pode retirar o cartão, que agora estará pronto para colocá-lo no Raspberry. Existe um vídeo tutorial no YouTube que resume como esse processo é feito.
Terceiro passo
O próximo passo é insira o cartão de memória no Raspberry Pi, conectar teclado, mouse e monitor (isso apenas para instalação do SO e PiHole), um cabo de rede (não é estritamente necessário, pois muitos RPi vêm com WiFi, mas é altamente recomendado por motivos de confiabilidade e velocidade) e ligue-o. O instalador do Raspberry OS deverá iniciar automaticamente no próprio Raspberry Pi, onde escolheremos mais algumas opções, como o idioma e localização, a senha do usuário (recomendamos este post sobre como escolher uma boa senha), e clicaremos no seguinte, próximo, próximo…
Depois que o sistema operacional estiver instalado, temos que fazer duas coisas muito importantes:
- Configure vocêum IP fixo na máquina. Isso é essencial: um firewall ainda é um servidor e, portanto, precisa de um IP fixo. Isso é bastante simples, pois Raspberry OS é um sistema operacional com interface gráfica: basta clicar no ícone de rede localizado no canto superior direito da tela, próximo ao relógio. Será exibido um menu que nos dá a opção de alterar as configurações de rede. Opcionalmente isso pode ser feito através da linha de comando, conforme indicado neste tutorial.
- Configure o acesso remoto via SSH (console) ao Raspberry. Isto não é essencial, embora seja recomendado. Isso pode ser feito através da linha de comando, com este comando: sudo apt-get install openssh-server PARAEmbora eu insista: não é obrigatório.
Neste ponto, a parte de instalação do sistema operacional está concluída. O próximo ponto é instalar o PiHole.
Instalando PiHole
Primeiro passo
Instalar o PiHole é ainda mais fácil do que instalar o sistema operacional. Só é necessário inserir este comando na linha de comando do Raspberry:
curl -sSL https://install.pi-hole.net | bash
O processo de instalação é automático: nos solicitará uma série de opções (a maioria das que vêm por padrão estão corretas) e finalmente será mostrada uma tela indicando que a instalação foi concluída, indicando também a URL para acessar o painel de controle web PiHole e a senha por padrão, que recomendo alterar.
Segundo passo
O próximo passo consiste emInsira o URL de administração do PiHole do próprio Raspberry e altere a senha padrão. Então você tem quefaça login em qualquer outro PC da nossa rede e verifique se podemos acessar o painel, inserindo um dos dois endereços indicados na tela de instalação. Neste ponto podemos desligar o Raspberry, desconectar o mouse, teclado e monitor, colocá-lo em seu local definitivo (no meu caso, próximo ao roteador), conectar um cabo de rede ao roteador, reconectá-lo à energia fornecer e pronto. O RPi será ligado e estará pronto para uso. Neste ponto, não é mais necessário monitor, teclado ou mouse: tudo será gerenciado a partir do painel web, que podemos acessar de qualquer navegador da web em qualquer computador ou dispositivo móvel que tenhamos conectado à rede doméstica.
Aqui está uma olhada no painel de controle da web, de um PC na minha rede doméstica:
Configuração de rede
Primeiro passo
Depois que o Raspberry Pi com Pi Hole estiver instalado, Estamos perdendo uma etapa muito importante: configurar a rede para que nossos dispositivos passem pelo Pi Hole antes de sair para a internet. Existem duas maneiras de fazer isso: você pode configure o roteador para passar todas as solicitações através do Pi Hole, ou você pode configure manualmente cada dispositivo para usá-lo. Minha recomendação é primeiro configurar um dos dispositivos para testar se tudo funciona (de preferência um desktop ou laptop) e testá-lo por algumas horas navegando e acessando outros serviços em nuvem, e verificando se tudo funciona, e o mais importante: com a publicidade bloqueada. Posteriormente, o roteador deve ser configurado para usar o Pi Hole como firewall em toda a rede.
Segundo passo
Para configurar um PC com Windows vamos ao painel de controle, centro de rede e compartilhamento e clique no oopção Alterar configurações do adaptador. Clicamos com o botão direito no adaptador correspondente e clicamos em propriedades:
Terceiro passo
Selecionamos então Protocolo de Internet versão 4 e clicamos em propriedades. Na próxima tela clicamos na opção Use os seguintes endereços de servidor DNS e Entramos no endereço IP do nosso Raspberry Pi. Então nós aceitamos.
Neste momento, O PC seria protegido pelo Pi Hole. Isso pode ser verificado se inserirmos a URL https://pi-hole.net/ no navegador: se fizermos isso corretamente, o painel de controle do Pi Hole deverá carregar.
Porém, como disse no início, isso só é prático para verificar se o Pi Hole funciona. Uma vez verificado, É melhor configurar o roteador para passar todo o tráfego da rede pelo Pi Hole.
Para fazer isso, o seguinte deve ser feito:
- O serviço DHCP deve estar desabilitado no roteador.
- Os servidores DNS do roteador devem ser alterados para Pi Hole. IMPORTANTE: O próprio Pi Hole deve primeiro ser configurado para usar DNS real (veja os do Google ou Movistar). Isso deve ser feito durante a instalação do Pi Hole, embora possam ser alterados posteriormente no painel de controle web.
- No Pi Hole, o serviço DHCP que ele integrou deve estar ativado.
Agora, as alterações no roteador dependerão muito do modelo de roteador que nosso provedor nos fornece. A documentação oficial do Pi Hole indica como isso pode ser feito.
No caso do Pi Hole, as alterações podem ser feitas no próprio painel.
Conclusão
Neste ponto, já devemos ter a nossa rede doméstica protegida contra ataques de malware, publicidade agressiva e outros conteúdos maliciosos.
Embora eu tenha colocado o uso do Pi Hole com um Raspberry Pi como exemplo pessoal, por ser o que tenho na minha rede doméstica, isso pode ser feito com qualquer hardware: o Pi Hole pode ser instalado em outros computadores Linux com outras arquiteturas, não necessariamente em um Raspberry Pi.
Também podemos programar um firewall, como fiz antes de saber da existência do Pi Hole, mas isso requer conhecimentos muito avançados de programação, redes e ambientes Linux.
Isso poderia até ser feito em um sistema operacional Windows Server, embora eu pessoalmente prefira o Linux para esses fins.