Autor: Rafael Lopes

Última atualização: 20/01/2021

Descrição: Este artigo descreve boas práticas para ativação de usuários finais em Provedores de Serviços de Internet (ISPs).

Introdução

Visando prover uma segurança básica à rede do usuário final e diminuir consideravelmente o número de chamados de suporte, é fundamental que sejam realizadas algumas ações no momento da ativação do assinante ou até mesmo em visitas técnicas de reparo.

Ações necessárias

Atualização de firmware do roteador

É importante sempre utilizar a versão mais recente de firmware disponível para os roteadores. Atualizações de firmware além de corrigir falhas de segurança e problemas de funcionamento, podem incorporar novos recursos e padrões de rede.

Utilizar senha forte na conta do usuário administrador do roteador e dos demais dispositivos

Para impedir acesso não autorizado ao roteador do assinante e, consequentemente, problemas no serviço fornecido, é fundamental que sejam utilizadas senhas fortes nos roteadores e demais dispositivos do assinante. Senhas fortes e bem elaboradas são senhas que sejam difíceis de serem descobertas e fáceis de serem lembradas. Maiores informações sobre elaboração de senhas podem ser encontradas na Cartilha de Segurança para Internet do CERT.br.

Desabilitar a função WPS da rede sem fio

O recurso WPS (Wi-Fi Protected Setup) permite que pessoas se conectem a uma rede sem fio sem que ela tenha a senha. Este recurso vem habilitado por padrão em alguns roteadores e é recomendável que seja desabilitado a fim de evitar acessos indevidos.

Utilizar senhas e protocolos seguros na rede sem fios

Conforme citado no item 2), é necessário utilizar senhas fortes nas redes sem fios (2.4GHz e 5GHz). Além disso, utilize sempre que disponível o mecanismo de segurança WPA2 (caso seu dispositivo não tenha este recurso, utilize no mínimo WPA). Maiores informações sobre elaboração de senhas podem ser encontradas na Cartilha de Segurança para Internet do CERT.br.

Habilitar firewall básico e proteção contra DDoS do roteador

Visando evitar ataques na rede do usuário final ou na rede do Provedor de Serviço de Internet, é recomendável que seja habilitado o recurso de firewall básico e proteção contra DDoS, caso estes recursos estejam disponíveis. Maiores informações sobre ataques na Internet podem ser encontradas aqui https://cartilha.cert.br/ataques/.

Restringir acesso remoto ao roteador aos IPs do ISP

Para facilitar a gerência do Suporte Técnico do Provedor de Serviços de Internet bem como garantir que não ocorra acesso não autorizado ao roteador do assinante, é recomendável que o recurso de gerenciamento remoto via WAN seja restrito aos endereços IPs do Provedor e sejam utilizadas as portas lógicas 8850 ou 8880. Caso este recurso não permita configuração de mais de uma sub-rede ou lista de IPs, recomendável que esta restrição seja realizada no firewall do Provedor de Serviços de Internet.

Configurar o MTU da interface WAN

Para evitar problemas de acesso à sites e aplicativos na Internet é recomendável configurar o MTU da interface WAN como 1492. MTU é uma sigla, em inglês, para Maximum Transmission Unit, que em português quer dizer “Unidade Máxima de Transmissão”. Este parâmetro é o responsável por dizer qual o tamanho de cada pacote de dados a ser transferido dentro de sua rede.