Os perigos do Wake On Lan remoto

Este post terá um caráter mais informativo, uma vez que existem vários tipos de roteadores no mercado, o que tornaria difícil elaborar um passo a passo.

Wake on LAN, ou acordar pela rede, é um termo amplamente conhecido no mundo da tecnologia da informação e amplamente utilizado para ligar computadores à distância.

Em um dos nossos tutoriais anteriores, Configurando Wake on Lan já explicamos um pouco sobre o que é e como usá-lo. Neste post, abordaremos o Wake on LAN com mais detalhes e discutiremos as precauções que você deve tomar ao habilitá-lo para transmissão de pacotes pela internet.

Em primeiro lugar o que precisa para habilitar o wake on lan para funcionar remotamente?

Basicamente, você precisa abrir a porta 7 ou 9 do protocolo UDP no seu roteador, dependendo de como você configurou o envio dos pacotes mágicos no cliente Wake on LAN. Em seguida, redirecione-os para um endereço de broadcast, por exemplo, 192.168.0.255. Com isso, os pacotes serão enviados para todos os dispositivos da sua sub-rede. É importante salientar que muitos roteadores modernos não permitem essa configuração, sendo necessário usar um ‘bypass’ para conseguir fazê-lo.

Nesse cenário, um ator mal-intencionado poderia executar um ataque Smurf – Papa Smurf.

Ataque Smurf

Um ataque Smurf/PapaSmurf é um tipo de ataque de negação de serviço (DDoS – Distributed Denial of Service) que utiliza uma técnica de amplificação para sobrecarregar a vítima com tráfego de rede. Nesse tipo de ataque, o atacante envia uma grande quantidade de solicitações de ICMP (Internet Control Message Protocol) com o endereço IP da vítima falsificado para uma rede de dispositivos que responderá a essas solicitações, como servidores de ping. Quando esses dispositivos respondem às solicitações, eles o fazem com uma quantidade muito maior de dados do que o atacante enviou, amplificando o impacto do ataque na vítima.

Para identificar esse tipo de ataque, é necessário compreender o funcionamento do endereçamento ICMP de broadcast. Um endereço de broadcast é um endereço IP simples que é transmitido como um pacote e serve para se comunicar com todos os hosts em um segmento de rede. Por exemplo, o IP de broadcast para a rede 12.0.0.0 é 12.255.255.255. Esse endereço envia o pacote para todas as máquinas da rede 12. Se houver um grande número de máquinas nesse segmento de rede, o uso de um endereço de broadcast resultará em um alto consumo de largura de banda da rede, já que o sistema gerará pacotes individuais para cada máquina no segmento de rede.

O termo ‘PapaSmurf’ tem origem em um script chamado ‘papasmurf.c’, que era usado para esse tipo de ataque.

Como evitar esses ataques ao habilitar o encaminhamento direto para um endereço de broadcast?

A melhor abordagem seria permitir apenas certos tipos de broadcasts direcionadas a passar pelo seu roteador, ou seja, configurar uma lista de acesso no seu roteador ou firewall.

Você deve verificar nas opções do seu roteador onde essa configuração está localizada.

Outras soluções para ligar dispositivos à distância:

Wake on GPIO

As portas GPIO são pinos que podem ser programados para realizar várias funções em um dispositivo eletrônico. Eles podem ser usados para entrada de sinais (como sensores) ou saída de sinais (como acionar dispositivos externos). O “Wake on GPIO” permite que um dispositivo em um estado de baixo consumo de energia, seja ativado automaticamente quando ocorre uma mudança de estado ou um sinal em uma das portas GPIO configuradas para essa finalidade.

Essa funcionalidade é comumente encontrada em sistemas embarcados, como placas Raspberry Pi, dispositivos de Internet das Coisas (IoT) e até mesmo em computadores de mesa, onde pode ser usada para acionar o computador a partir de um estado de suspensão quando um evento externo, como pressionar um botão ou detectar uma entrada de sensor, ocorre. Isso é útil para economizar energia e permitir que um dispositivo seja ativado de forma eficiente quando necessário.

Deixe um comentário