Ao configurar a Internet, você pode baixar o aplicativo móvel chamativo do roteador, criar um perfil para os dispositivos dos seus filhos e ativar a filtragem de conteúdo adulto, e de repente você se sentirá como um pai digital responsável. No entanto, verificando se realmente funcionou, seu filho pode inicializar o laptop, acessar as configurações do navegador ou tocar em um único botão, como o Private Relay da Apple, e acessar instantaneamente tudo o que quiser. Não há alertas no telefone e o roteador acha que está tudo bem.
Isso ocorre porque os atuais controles parentais do consumidor são um puro sistema de segurança. Eles contam com regras da web de texto simples da velha escola que a arquitetura da web moderna tornou completamente obsoletas. Se você deseja um filtro que realmente funcione, você precisa parar de depender da troca de consumidores e criar um limite de firewall real e restritivo. Os aplicativos de roteador oferecem uma falsa sensação de segurança, mas os dispositivos modernos usam DNS criptografado sobre HTTPS por padrão. Uma criança que entende de tecnologia não precisa hackear seu roteador. O roteador deles inicialmente ignora os bloqueios do seu roteador. Para impedir isso, você precisa escrever uma regra de firewall que coloque todo o tráfego de volta em um canal filtrado e controlado. Esses controles são completamente quebrados porque os navegadores e sistemas operacionais modernos ignoram deliberadamente os roteadores locais usando protocolos DNS criptografados. É uma falha técnica e implementar esta solução fará com que você se sinta uma lenda da rede.
4 razões pelas quais você deve desabilitar o NAT-PMP no seu roteador agora
Esta alternativa UPnP centrada na Apple não é mais necessária.
Por que a maneira antiga não funciona?
Os controles parentais tradicionais não são mais bons o suficiente
Quando você implementa o controle dos pais pela primeira vez, a maioria dos roteadores escolherá o método antigo. Os filtros tradicionais interceptam solicitações de DNS padrão e não criptografadas para determinar se um dispositivo está solicitando um site bloqueado. Por exemplo, se você bloquear o TikTok.com, o roteador verificará novamente se o site possui uma solicitação de DNS não criptografada. Se houver, e corresponder à lista de bloqueios, o roteador descartará a solicitação e negará acesso ao site.
No entanto, existe um grande desvio moderno. DNS sobre HTTPS é um protocolo de segurança que criptografa pesquisas em sites e as oculta do tráfego normal da web. Este recurso nem precisa ser instalado ou ativado para funcionar, pois muitos navegadores como Chrome, Firefox e Edge já possuem DNS seguro integrado. Quando ativado, ou quando seu filho se conecta a uma VPN gratuita, o navegador envolve a solicitação de DNS em uma conexão HTTPS criptografada e a envia diretamente para o Google ou Cloudflare. Parece um site normal e inocente para o seu roteador e não é possível olhar dentro do envelope criptografado para bloqueá-lo. Isto garante acesso irrestrito a qualquer site, mesmo que esteja bloqueado pelo controle parental do roteador.
Há também uma falha secundária quando se trata de perfis de roteador. Eles rastreiam dispositivos usando endereços MAC, que são os identificadores de rede física dos dispositivos. Tanto o iOS quanto o Android, e agora até o Windows 11, têm endereços Wi-Fi privados nativos que alternam automaticamente endereços MAC aleatórios. Isso significa que no momento em que o telefone do seu filho gera um novo endereço MAC, o roteador o trata como um dispositivo convidado irrestrito e totalmente novo, ignorando completamente quaisquer regras de perfil personalizadas que você configurou para o dispositivo específico dele.
Pilha de firewall
Crie uma interceptação para impedir o acesso a sites restritos
A verdadeira solução é criar uma interceptação e forçar a pilha do firewall. Isso pode parecer assustador, mas significa que, em vez de mexer nas configurações do seu dispositivo, você está bloqueando completamente o caminho da sua rede com configurações personalizadas de firewall do roteador. Para começar, você precisa criar uma regra NAT de destino de encaminhamento de porta. A regra diz que qualquer pacote de dados que tente sair de sua rede local pela porta 53 (que é seu DNS padrão vinculado a um servidor estrangeiro) deve ser sequestrado à força e redirecionado para um servidor DNS filtrado de sua escolha, como Next DNS, AdGuard Family ou Clean Browsing. Isso significa que mesmo que seu filho altere manualmente as configurações de DNS estático do computador, o roteador substituirá fisicamente o endereço de destino no gateway.
Após esta etapa, você precisa escrever um drop wall LAN-WAN simples, bloqueando todo o tráfego de saída na porta 853. Isso desativará completamente o DNS sobre TLS, evitando que os dispositivos estabeleçam um canal secundário seguro. Ele redireciona todo o tráfego através do servidor DNS de filtro escolhido.
Para encerrar o DNS sobre HTTPS, que é a porta 443, você não pode bloquear completamente a porta 443 porque isso quebraria toda a Internet. Em vez disso, você deve implementar uma lista de bloqueio de firewall visando endereços IP conhecidos de resolvedores DOH, como Google e Cloudflare. Quando o navegador percebe que não consegue acessar seu servidor de inicialização criptografado e seguro por HTTPS, ele aciona um substituto à prova de falhas. O navegador então volta para o DNS da porta 53 padrão, onde sua parede de redirecionamento da etapa 1 o pega e o envia com segurança através do filtro da sua família.
Depois de definir essas configurações, você pode garantir que todo o tráfego da Internet seja roteado através do servidor DNS de filtro de sua escolha. Isso significa que ninguém em sua casa pode violar as proteções parentais que você implementou.
Não seja vítima do hype do marketing
Os verdadeiros controles parentais requerem uma pilha de firewall
Os interruptores de alternância de aplicativos e os chavões de marketing têm como objetivo fazer com que os pais se sintam bem em vender roteadores caros, mas a verdadeira segurança de rede não vem com um botão liga-desliga. Isto é conseguido usando uma arquitetura de roteamento rigorosa. Embora possa parecer um pouco assustador, implementar uma pilha de firewall é absolutamente necessário para garantir que seus controles parentais sejam respeitados. Em vez de gerenciar os dispositivos individuais dos seus filhos, comece a gerenciar o gateway. Gaste uma hora para fortalecer suas regras de firewall e você não terá que verificar o histórico do navegador o tempo todo.
