top of page
Buscar

Cibersegurança: como evitar ataques aos equipamentos dos seus assinantes

Atualizado: 12 de set.

Com o mundo cada vez mais conectado, se faz necessário estabelecer mecanismos de defesa para manter seguros os dados compartilhados através da Internet. Ações para aumentar a Segurança Cibernética de uma infraestrutura de rede, devem ser tomadas em diferentes esferas, começando com os Equipamentos de Premissa do Cliente (CPEs), como ONTs GPON, Modems DSL e Cable Modems, pois em muitos casos, esses dispositivos são a primeira linha de defesa contra ameaças cibernéticas.


Devemos tomar um cuidado redobrado com a configuração dos dispositivos clientes de uma rede de acesso, pois em muitos casos por negligência do ISP, esses equipamentos são instalados com senhas fracas e firmwares desatualizados. Uma CPE mal configurada pode ser tornar uma porta de acesso para invasores, invasores que podem roubar dados, lançar ataques de negação de serviço (DDoS) ou utilizar a conexão do assinante para atividades ilícitas.


Neste artigo, abordaremos algumas dicas de segurança de rede, para ajudá-lo a manter a infraestrutura dos teus assinantes segura e estável. 


1) Altere as Credenciais Padrão

Uma das vulnerabilidades mais comuns em CPEs, são as credenciais de login configuradas com o padrão de fábrica, o famoso “admin/admin”. É essencial que o provedor adote um padrão de senha forte, seguindo dicas como:


  • Use senhas fortes e únicas, combinando letras maiúsculas e minúsculas, números e símbolos. Evite informações óbvias, como dados que tenham relação com o modelo do equipamento instalado, ou algo relacionado com o nome do ISP;

  • Evite senhas fracas como “root/admin”, “12345678” ou "password”. Esses tipos de senhas são facilmente descobertas através de ferramentas automatizadas. 


A partir do dia 10 de março de 2024, equipamentos homologados ou que tiveram sua homologação renovada pela ANATEL, deverão seguir rigorosos padrões de segurança. Através deste link, você pode ter acesso às informações completas previstas no ato número 2436, ato esse que trata sobre Cyber Security em equipamentos CPE.


2) Mantenha o firmware atualizado

O lançamento de novas versões de firmware não está relacionado apenas com a correção de bugs, adição de novas features e melhoramento de performance. Em alguns casos, novas releases de software tem como objetivo “fechar” o equipamento contra vulnerabilidades de segurança.  

Fique por dentro de novas atualizações através do nosso portal de suporte (https://suporte.parks.com.br/). 

A automatização do processo de atualização pode ser feita via NMS (Network Management System), como por exemplo, o Parks Easy Network View (https://www.parks.com.br/easy-network-view). Desta forma, você pode programar atualizações em massa em horários estratégicos, causando menos impacto na operação do ISP. 


3) Desative recursos não utilizados

Cada serviço ou porta aberta na CPE representa um potencial ponto de entrada para um invasor. Diminua os possíveis caminhos para ataques com as seguintes ações:


  • Bloqueie o acesso remoto via WAN: Parece contraditório do ponto de vista da facilidade de suporte técnico, mas desativar o acesso remoto via WAN pode evitar muitos problemas, principalmente para CPEs endereçadas com IPs válidos. Ferramentas mais seguras podem ser utilizadas para gerenciar o equipamento, como por exemplo o protocolo OMCI (ONT Management Control Interface) previsto no padrão GPON.

  • Desative o UPnP (Universal Plug and Play): Embora conveniente, o UPnP pode abrir caminhos indesejados para possíveis ameaças. 

  • Desabilite o SSH, Telnet, HTTP e ICMP (ping): Caso você não utilize esses recursos para monitorar ou acessar a CPE, desative-os.


4) VLAN de gerência e Servidor TR069


Utilizar VLANs de gerência é uma forma efetiva de evitar tentativas de instrução, mantendo o controle da CPE seguro e organizado. Desta forma, o acesso será realizado através da sub-rede de gerência, onde a CPE permitirá apenas requisições originadas com a tagged da VLAN configurada. Além de ser um nível a mais de segurança, a VLAN de gerência ajuda na organização da infraestrutura, segmentando em fluxos diferentes os tráfegos de controle da CPE e internet.


A utilização de um servidor NMS (Network Management System) atrelado ao protocolo TR069, também é uma forma efetiva de manter o equipamento do assinante seguro, pois é possível automatizar configurações como: bloqueio de portas, troca de senhas de acesso, desativação de serviços não utilizados e etc. Com o TR069 se tem outra vantagem que é o provisionamento automático, que mesmo caso o equipamento seja resetado pelo assinante, ele retornará às configurações predefinidas na base de dados do servidor NMS.


5) Configuração de ACLs

Aqui está um recurso muitas vezes não explorado por gerentes de rede. Regras de ACL (Access Control List), podem ser utilizadas para determinar, por exemplo, qual range de IP poderá acessar via WAN a CPE. Qualquer requisição de acesso que não tenha um IP de origem cadastrado na regra, automaticamente será “dropada” pelo terminal. 


6) Rede Wi-Fi segura

Parece besta mas sim, muitos esquecem de fazer o básico e proteger a rede Wi-Fi do assinante, deixando de mão beijada uma freeway aberta para alguém mal-intencionado acessar o equipamento. Isso sem contar quando o próprio usuário se “sabota”, compartilhando a senha da rede wireless com vizinhos.


As mesmas sugestões trazidas no tópico 1, podem ser aplicadas aqui. Evite senhas comuns e fáceis. Utilize passwords complexos, mesmo que isso dificulte quando uma visita pedir a senha do Wi-Fi.


O ato número 2436  também prevê que todo equipamento homologado siga à risca os critérios estabelecidos para criação de senha, tanto para acesso de configuração, como na rede wireless. 


Sempre utilize os protocolos mais recentes de segurança, como o WPA2 ou WPA3. Os padrões WEP e WAP são facilmente quebrados, logo não utilize-os! Sempre que optar pelo padrão WPA3 em CPEs Wi-Fi 6, faça um teste prévio de compatibilidade com os dispositivos da rede, pois existem equipamentos legados que ainda não suportam esse recurso. 


Segmentar a rede Wi-Fi criando um SSID exclusivo para convidados, é uma forma simples de isolar o tráfego da rede local do assinante, de dispositivos potencialmente comprometidos ou usuários mal-intencionados. Esse tipo de configuração é indicada principalmente para estabelecimentos comerciais que disponibilizam acesso a internet para seus clientes, como por exemplo: cafés, lanchonetes, padarias, restaurantes e etc.  


Ocultar o SSID pode dificultar tentativas de intrusão. Mesmo não sendo uma medida de segurança infalível, essa ação pode dificultar a descoberta da rede por curiosos. Do ponto de vista de implementação não é tão simples, principalmente pelo fato do usuário final não ter conhecimentos avançados sobre configurações de rede, mas dependendo do perfil do cliente, talvez seja possível optar por essa estratégia.


7 - Monitore a rede

Fique atento a atividades incomuns que possam indicar uma violação de segurança.


• Verifique os logs da CPE: muitos dispositivos registram eventos de segurança e tentativas de login. Consulte esses logs periodicamente;

• Observe o comportamento da rede: lentidão inexplicável, redirecionamentos estranhos ou dispositivos desconectados podem ser sinais de problemas.


Autor: Jalles Vides - Gerente de Produto Parks

 
 
bottom of page