Conhecendo o OpenWRT Roteador Livre, Seguro e Privativo

2. Sobre mim
Douglas Esteves
UNICAMP - Centro de Computação
Presidente do Laboratório Hacker de Campinas (LHC)
Blog : douglasesteves.eng.br
Twitter : @_DouglasEsteves
Mastodon: chaos.social/@_DouglasEsteves

3. Caio Volpato (caioau)
Formado em matemática aplicada e computacional.
Diretor executivo na casa hacker.
Twitter: @caioauv
Pagina pessoal: caioau.keybase.pub
PGP: 210B C5A4 14FD 9274 6B6A 250E EFF5 B2E1 80F2 94CE

4. Casa Hacker
A casa hacker é um espaço hacker sem fins lucrativos com a missão de garantir a
emancipação tecnológica das comunidades.
Iniciativas mais recentes:
● Livro de atividades de tratamento de Dados
● Guia do eleitor
Website: casahacker.org
Redes sociais: @casahacker
Mastodon: @casahacker@masto.donte.com.br

5. Laboratório Hacker de Campinas
Laboratório de Eletrônica
Marcenaria
Cozinha
Salão para encontros e eventos
Ferramentas
Churrasqueira!
Pessoas com os mais variados interesses!
https://lhc.net.br

6. Diversas notícias

9. Relatório sobre roteadores
https://www.fkie.fraunhofer.de/en/press-releases/Home-Router.html
2020 testado tipos de 127 roteadores doméstico

10. https://cert.br/stats/incidentes/
Ataques mais comuns
● Ataque em contas
● e-mails
● ssh e telnet
● Câmeras IP
● Smartphones
● Smart TVs
● Roteadores

11. Motivações financeiras
Custos de equipamentos

12. Curiosidade
https://www.insecam.org/

13. ● Mais de 650 dispositivos suportados
● Código Aberto
● Criado para substituir o firmware padrão dos roteadores
● Comunidade ativa
● Customização da build (Você pode melhorar e incluir bibliotecas e softwares)
● Suporte com diversas arquiteturas
● Promissora para aplicações IoT Linux embarcado
openwrt.org

14. Funcionalidades
Instalar mais softwares em seu roteador.
VPN
MQTT
Teste de velocidade de Internet
Softwares personalizados
Client BitTorrent

15. Vantagens
Customização
Dicas de segurança
Atualizações
Comunidades com bons feedbacks
Suporte a diversos equipamentos

16. Observações sobre o OpenWRT
- Novas versões mínimo de 16MB RAM
- Não tem suporte para todos os roteadores
- Garantia do fabricante
- Suporte apenas da comunidade

17. openwrt.org

20. Download do firmware!
- Cuidados
- Confirmar versão do equipamento

21. openwrt.org

22. https://openwrt.org/toh/raspberry_pi_foundation/raspberry_pi

23. Firmware
https://openwrt.org/toh/raspberry_pi_foundation/raspberry_pi

26. Atualizando o firmware

27. Usuário de administração
192.168.1.1

28. Dica para uma senha não tradicional

30. ❏ System
❏ Administration

31. Instalando Softwares

32. Mão na massa!
Photo by Mariana Vusiatytska

33. VM com OpenWRT
https://bit.ly/3e39eqP

35. DNS criptografado: DoT e DoH
As operadoras sabem que você conectou no facebook, mas como a maioria dos
sites atualmente tem https, a ISP não sabe o que fez no site.
O DNS criptografado tem o objetivo de que a operadora não saiba mais que o
cliente conectou em determinado site.
Temos 2 tecnologias mais populares atualmente:
● DNS over https (DoH): RFC8484, porta 443 (TCP)
● DNS over TLS (DoT): RFC7858, porta 853 (TCP)

36. DNS criptografado: Como usar?
Para utilizar o DNS criptografado existem as opções:
● Só usar firefox :P -> DNS sobre HTTPS no Firefox | Ajuda do Firefox
● No Android >= 9 (Pie) existe a opção de “DNS privado” (DoT).
● No openwrt dá pra usar através do unbound ou stubby (DoT).
○ guide
Provedores: privacytools.io/providers/dns
● CloudFlare (1.1.1.1)
● NextDNS: PiHole como serviço :P permite customizar a lista de domínios
bloqueados (adblock), e consultar quais domínios foram conectados.

37. DNS criptografado: Funciona mesmo?
SIM! E está incomodando as ISPs no mundo todo!
(UK) Internet group brands Mozilla 'internet villain' for supporting DNS privacy feature
(US) Why big ISPs aren’t happy about Google’s plans for encrypted DNS

38. Bloqueador de anúncios e rastreadores
Para bloquear os anúncios e rastreadores, conforme mencionado pode ser
utilizado o NextDNS (ou outro provedor que bloqueia ads).
Outra opção para não depender de terceiros é bloquear diretamente no
OpenWRT:
Ad blocking: Documentação do pacote adblock (com interface web: pacote
luci-app-adblock)
Outra opção é utilizar o famigerado Pi-hole

39. adblock: reforçando o bloqueio
Até então nossos esforços para bloquear propagandas e rastreadores
funcionarão apenas se seus dispositivos usarem o DNS da rede.
Muitos fabricantes de celulares Android vão utilizar o DNS do google (8.8.8.8),
desviando nossos bloqueios.
No firewall do openwrt podemos forçar a utilizar o DNS do roteador: edite o
/etc/firewall.user com
iptables -t nat -A PREROUTING -i br-lan -p udp --dport 53 -j DNAT --to-destination 192.168.1.1
iptables -t nat -A PREROUTING -i br-lan -p tcp --dport 53 -j DNAT --to-destination 192.168.1.1
iptables -t nat -I PREROUTING -i br-lan -p tcp -s 192.168.1.1 --dport 53 -j ACCEPT
iptables -t nat -I PREROUTING -i br-lan -p udp -s 192.168.1.1 --dport 53 -j ACCEPT

40. Documentação do projeto : openwrt.org

41. https://discourse.lhc.net.br/
● Contribuir
● Tirar dúvidas

42. https://forum.openwrt.org/
Contribuir
Tirar dúvidas

43. Referências
https://nic.br/
https://www.cert.br/csirts/brasil/
http://openwrt.org/
https://casahacker.org/
http://lhc.net.br/