Segurança do roteador wireless
TL-WR642G
Firewall ou seja Muro de fogo, por ele voce evita uma serie de invasão da internet para sua rede, isso significa que voce pode fazer alguns controles no quesito segurança da rede interna.
Dá uma olhada nisso ai com carinho, vale apena.
Para chegar a essa tela, clique em Secutity - Firewall
Aqui voce habilita, a segurança que voce deseja usar, eu diria que quanto mais seguro melhor.
Explicação das informções acima.
A primeira opção Enable Firewall (the general firewall switch) liga o firewall para funcionamento
Enable IP Address Filtering - Liga o filtro para os IP's da rede
Default IP Address Filtering Rules: esta opção é importante, e deve se escolhida a alternativa:
Deny the packets not specified by any filtering rules to pass through the router Cancelar os pacotes não especificado nas regras de filtro determinado no router.
Enable Domain Filtering esta opção eu acho muito boa, por ela voce pode filtrar os Dominios, por exemplo, proibir o acesso a www.orkut.com.br
Enable MAC Address Filtering esta opção eu já não uso pelo fato de ser complicado a manipulação de endereço físico das placas de rede instaladas nos computadores.
A primeira opção Enable Firewall (the general firewall switch) liga o firewall para funcionamento
Enable IP Address Filtering - Liga o filtro para os IP's da rede
Default IP Address Filtering Rules: esta opção é importante, e deve se escolhida a alternativa:
Deny the packets not specified by any filtering rules to pass through the router Cancelar os pacotes não especificado nas regras de filtro determinado no router.
Enable Domain Filtering esta opção eu acho muito boa, por ela voce pode filtrar os Dominios, por exemplo, proibir o acesso a www.orkut.com.br
Enable MAC Address Filtering esta opção eu já não uso pelo fato de ser complicado a manipulação de endereço físico das placas de rede instaladas nos computadores.
Clicando no botão Add New.. voce cria regras para os ip's da sua rede.
Olhe a janela abaixo, ela é exibida quando voce clica no botão Add New.., nesta janela, voce define o horário que os ip's especificados acessaram os endereços ip's na wan.
Esta configuração controla horários e acesso de uma rede a internet isto é muito bom para quem quer impedir acessos em horários de serviços ou estudos, vamos ver abaixo como funciona.
Effective time - aqui voce determina o horário que voce quer negar ou liberar, a hora deve ser digitada sem dois pontos, ex: 0700 - 1200
LAN IP Address - Aqui voce define a faixa de ip da sua rede que desejas negar o liberar o horário
Lan Port - Aqui define a porta de acesso a internet, se deixar branco vai liberar ou bloquear todas as portas, porem é interessante bloquear ou liberar a porta 80 que é responsável pela navegação na internet.
WAN IP Address - Aqui voce define a faixa ou o ip que deseja controlar, se deixar em branco, todos os sites serão negados ou liberados.
WAN Port - Como no ip, aqui também é a mesma coisa, voce escolhe a porta ou deixa em branco para todas
Protocol - Protocolo de comunicação, escolha ALL, porque assim vai valer para todos os protocolos, como por exemplo TCPIP ou UDP.
Action - Aqui é onde voce define se Nega ou Libera, Deny - nega, Allow - permite
Status - Enabled - ligado
Pronto clique no botão Save, e tudo estarar pronto para uso.
Effective time - aqui voce determina o horário que voce quer negar ou liberar, a hora deve ser digitada sem dois pontos, ex: 0700 - 1200
LAN IP Address - Aqui voce define a faixa de ip da sua rede que desejas negar o liberar o horário
Lan Port - Aqui define a porta de acesso a internet, se deixar branco vai liberar ou bloquear todas as portas, porem é interessante bloquear ou liberar a porta 80 que é responsável pela navegação na internet.
WAN IP Address - Aqui voce define a faixa ou o ip que deseja controlar, se deixar em branco, todos os sites serão negados ou liberados.
WAN Port - Como no ip, aqui também é a mesma coisa, voce escolhe a porta ou deixa em branco para todas
Protocol - Protocolo de comunicação, escolha ALL, porque assim vai valer para todos os protocolos, como por exemplo TCPIP ou UDP.
Action - Aqui é onde voce define se Nega ou Libera, Deny - nega, Allow - permite
Status - Enabled - ligado
Pronto clique no botão Save, e tudo estarar pronto para uso.
Eis aqui outra forma de segurança muito interessante para voce fazer na sua rede, neste caso voce bloqueia domínios, por exemplo: Todo mundo acessa a internet todos os horários, porém certos sites como: www.orkut.com, www.playboy.com, www.sexobr.com.br, não devem ser acessados, neste caso Domain Filtering é a melhor opção
Bem a primeira coisa é verificar se Enable Firewall está em Enabled e Enable Domain Filtering está Enabled, se está, beleza, pode adicionar os domínios que deseja bloquea-los, para fazer isso clique no botão Add New..., veja exemplo abaixo.
Nesta tela voce determina quais domínios vão ficar bloqueados, e, o mais importante, voce pode definir horários de funcionamento, por exemplo:
1ª regra
Effective time - coloque o horário desejado 0000 - 1200
Domain Name - o site em questão www.orkut.com.br
Status - Disabled (deligado) ninguem acessa neste horário. (Clique no botão Save)
2ª regra (habilita horário do almoço)
Effective time - coloque o horário desejado 1200 - 1330
Domain Name - o site em questão www.orkut.com.br
Status - Enabled (ligado) Todo mundo acessa esse horário. (Clique no botão Save)
3ª regra
Effective time - coloque o horário desejado 1330 - 2400
Domain Name - o site em questão www.orkut.com.br
Status - Disabled (deligado) ninguem acessa neste horário. (Clique no botão Save)
Ou se simplesmente desejar que ninguem acesse, use a regra da tela acima e pronto... ninguém acessa.
1ª regra
Effective time - coloque o horário desejado 0000 - 1200
Domain Name - o site em questão www.orkut.com.br
Status - Disabled (deligado) ninguem acessa neste horário. (Clique no botão Save)
2ª regra (habilita horário do almoço)
Effective time - coloque o horário desejado 1200 - 1330
Domain Name - o site em questão www.orkut.com.br
Status - Enabled (ligado) Todo mundo acessa esse horário. (Clique no botão Save)
3ª regra
Effective time - coloque o horário desejado 1330 - 2400
Domain Name - o site em questão www.orkut.com.br
Status - Disabled (deligado) ninguem acessa neste horário. (Clique no botão Save)
Ou se simplesmente desejar que ninguem acesse, use a regra da tela acima e pronto... ninguém acessa.
Na tela acima, voce ver os domínios bloqueados, conforme voce vai adcionando, eles vão aparecendo ai, lembre-se isso tem limite, eu não sei quandos domínios, teste please.
Enabled - permite
Disabled - bloqueia.
Enabled - permite
Disabled - bloqueia.
Dos Protection - Ataque DoS ou Denial of Service, esse ataque o hacker explora a vunerabilidade do TCPIP no seu sistema operacional, usando o famoso pingo da morte (ping -t -l 65500) isso aconteceu bastante em rede com sistema operacional Windows 95 e 98, com esse ataque toda sua rede era derrubada, convém ativar essa proteção, nunca se sabe o que um hacker pode aprontar.
ICMP-FLOOD - É um ataque mais sofisticado do que o Dos, ele ataca sistemas operacionais mais novos com vários pacotes enviados a sua rede o mais rápido possível, deixando-a bastante lenta até parar. convém deixar ligado essa opção.
UDP-FLOOD - Ataque parecido com o anterior, porém usa o protocolo UDP, este anda junto com o TCPIP porém ele é livre, não tem regra nem controle, Deixe também habilitado.
TCP-SYN-FLOOD - O Ip origem envia um pacote syn para o Ip destino para poder sincronizar a conexão. O Ip destino responde com um pacote synack para confirmar o recebimento da requisição. Continuando...a míquina origem envia um pacote dual ack para confirmar o recebimento da confirmação de conexão do Ip destino, e então inicia a sessão.
Basicamente o que o TCP syn faz é enviar vírios pacotes syn para o Ip destino fazendo com que este aloque memória e processamento para todos estes pacotes. Uma vez que o número de pacotes de solicitação de conexão é muito grande, o Ip destino não consegue processar e responder a todas essas requisições e entra em crashing travando ou fazendo com que a máquina (ip destino) reinicie.
Ignore Ping Packet From WAN Port - esta opção cancela o comando ping de fora pra dentro da sua rede, evitando alguns ataque do tipo Dos.
Forbid Ping Packet From LAN Port - Proibe ping dentro da sua rede local, esse não é necessário habilitar, geralmente o responsável usa bastante esse comando na rede local para verificação um determindo computador está conectado na rede.
ICMP-FLOOD - É um ataque mais sofisticado do que o Dos, ele ataca sistemas operacionais mais novos com vários pacotes enviados a sua rede o mais rápido possível, deixando-a bastante lenta até parar. convém deixar ligado essa opção.
UDP-FLOOD - Ataque parecido com o anterior, porém usa o protocolo UDP, este anda junto com o TCPIP porém ele é livre, não tem regra nem controle, Deixe também habilitado.
TCP-SYN-FLOOD - O Ip origem envia um pacote syn para o Ip destino para poder sincronizar a conexão. O Ip destino responde com um pacote synack para confirmar o recebimento da requisição. Continuando...a míquina origem envia um pacote dual ack para confirmar o recebimento da confirmação de conexão do Ip destino, e então inicia a sessão.
Basicamente o que o TCP syn faz é enviar vírios pacotes syn para o Ip destino fazendo com que este aloque memória e processamento para todos estes pacotes. Uma vez que o número de pacotes de solicitação de conexão é muito grande, o Ip destino não consegue processar e responder a todas essas requisições e entra em crashing travando ou fazendo com que a máquina (ip destino) reinicie.
Ignore Ping Packet From WAN Port - esta opção cancela o comando ping de fora pra dentro da sua rede, evitando alguns ataque do tipo Dos.
Forbid Ping Packet From LAN Port - Proibe ping dentro da sua rede local, esse não é necessário habilitar, geralmente o responsável usa bastante esse comando na rede local para verificação um determindo computador está conectado na rede.
Falamos de Ping, este é um comando, geralmente a nível de msdos, usado para testar se um determinado computador está conectado na rede. Veja exemplos abaixo:
No windows XP, para chegar ao falso MSDOS, clique em Iniciar->Executar, digite cmd, pressione enter, irar abrir uma janela geralmente de cor preta e letras brancas.
Veja, este comando foi até o computdador de IP com o final 12, levando um pacote de tamanho 32 e nos tempos descritos acima, isso significa que o computador está na rede.
Veja, este comando procurou o computdador de IP com o final 122, levando um pacote de tamanho 32 varreu toda rede mais não encontrou.
Olho vivo na segurança, nunca se sabe o que pode acontecer.
Boa Sorte.
Boa Sorte.
