Visitas aos assinantes para realizar manutenção de equipamentos tirou o sono de muitos técnicos e donos de provedores ao longo dos anos. Além do custo de instalação, as frequentes visitas para resolver problemas de resets realizados de maneira incorreta, quedas de energia e sinal com baixa qualidade, fizeram com que muitos provedores tivessem elevados custos operacionais (OPEX). Grandes fabricantes ao perceberem essa dificuldade passaram a implementar métodos de acesso remoto aos equipamentos nas casas dos assinantes, como por exemplo, através da porta WAN, via linhas de comando da OLT (CLI) e o mais recente, através do protocolo TR-069. No entanto, a utilização incorreta de alguns desses métodos pode abrir brechas de segurança para pessoas mal-intencionadas que buscam invadir a rede do provedor de internet.

Segundo a M3AAWG (Messaging Malware Mobile Anti-Abuse Working Group), essas brechas de segurança afetam os usuários finais que são alvos de diversas formas de abuso como a exploração de serviços mal configurados, credenciais de autenticação padrão e comprometimentos por malware. Os objetivos desses abusos é a condução de ataques de negação de serviço (DoS), mineração não autorizada de criptoativos, propagação de malware, envios de spam, phishing, furto de credenciais, entre outros abusos. Em geral, as vulnerabilidades mais comuns são: credenciais padrão para muitos dispositivos, credenciais que não podem ser alteradas (hard-coded), uso de protocolos e algoritmos obsoletos e inseguros, acessos não documentados (backdoor), falta de mecanismo de atualização automatizado e seguro para tratar de problemas de segurança, serviços desnecessários e/ou inseguros ativados por padrão, serviços que não podem ser desativados, gerenciamento remoto inseguro.

Dado aos problemas citados acima, a ANATEL (Agência Nacional de Telecomunicações) criou uma determinação para minimizar esses problemas de segurança ocasionados por essas vulnerabilidades chamado de ATO 77, formulado em 2021, esse ato tem como objetivo garantir a segurança e a qualidade das redes domésticas de Wi-Fi.

O ato 77 da ANATEL, em resumo, estabelece requisitos de segurança cibernética para equipamentos terminais com conexão à internet e equipamentos de redes de telecomunicações. Incluindo, dessa forma, equipamentos de rede como roteadores, gateways, firewalls e modens, mas também inclui telefones celulares, computadores e dispositivos IoT (Internet of Things) como câmeras IP, babás eletrônicas, smart tvs, smart speakers e hubs IoT. O objetivo principal do ato é induzir os fornecedores desses equipamentos a minimizarem ou corrigirem vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações nas configurações, dessa forma protegendo a segurança da infraestrutura de telecomunicações em todo o território nacional e os seus usuários.

É importante que os provedores garantam um acesso remoto seguro para seus clientes finais, a fim de garantir a integridade dos dados e a privacidade. Para mitigar essas brechas na segurança, a ANATEL recomenda que os usuários utilizem métodos seguros de acesso remoto, como o protocolo TR-069. Esses métodos fornecem uma conexão segura e criptografada para o roteador, tornando muito mais difícil o acesso à rede por invasores.

No entanto, roteadores antigos, podem não se adequar ao novo padrão, gerando impactos negativos para alguns usuários. Para isso, temos algumas sugestões de produtos que podem receber os métodos de acesso remoto mais seguros, disponíveis no mercado.

A fim de esclarecer quais métodos são mais seguros atualmente, juntamos algumas soluções de acesso remoto com maior nível de segurança que podem ser usadas por provedores ISPs.

Opções de acesso disponíveis para os provedores

As possibilidades de gerenciamento remoto mais seguras se darão das seguintes formas: via CLI (linhas de comando entre OLT e ONU) ou via protocolo TR069. Sendo assim vamos detalhar cada uma das formas.

Gerenciamento via CLI: através das linhas de comando da OLT, por esses códigos o provedor consegue acessar as informações da ONU. Porém, essa é uma maneira mais complicada e exige que maior conhecimento dos técnicos capacitados do provedor. Nessa solução o acesso é feito através de prompt de comando em que o provedor controla a operação, facilitado quando OLTs e ONUs são da mesma fabricante.

Gerenciamento via TR-069: é o protocolo mais utilizado atualmente para fazer a comunicação entre o ACS (Automatic Configuration Server) do provedor e os ativos de rede. Esse protocolo facilita a comunicação entre um servidor e um dispositivo remoto suas funções são: configuração automática, gerenciamento de software e firmware, monitoramento, geração de diagnósticos de rede e realizar testes de velocidade.

Para provedores que utilizam OLTs e ONTs Huawei, existe também a opção de NCE FAN (Network Cloud Engine – Fixed Access Network). Porém, nesse caso, diferentemente das soluções de ACS, o provedor necessita ter o software instalado no servidor ou através de VMs (Virtual Machines). Por esse sistema, é possível fazer gerenciamento, controle de serviços e análise de redes dos equipamentos Huawei.

Sobre o protocolo TR-069, a FiberX, oferece uma solução chamada de FX ACS que visa a redução de tempo e trabalho no momento da configuração dos dispositivos utilizados em sua rede. Com servidor em nuvem, toda a configuração pode ser feita através do seu navegador, alterando os parâmetros do seu equipamento através do protocolo TR-069. Com base em 3 pilares: Automação de dispositivos, facilidade de configuração e economia de tempo e recursos. O FX ACS é indicado para provedores que buscam agilidade e velocidade nos atendimentos, gerando economia em sua operação. Com gerência remota, é possível evitar diversas visitas na casa do assinante, gerando economia de tempo e recursos da empresa.

A partir dessas soluções, é possível garantir um acesso remoto seguro aos clientes finais dos provedores de internet. Mitigando brechas na segurança dos dispositivos dos usuários finais, tornando suas redes menos vulneráveis a ataques mal-intencionados que comprometam a rede.

Além disso, a FiberX estará sempre à disposição para auxiliar nossos clientes ISPs a tomarem as melhores decisões para o negócio. Dessa forma, fortalecendo o elo entre fornecedor, prestador de serviço e usuário final. Conte com a FiberX pois aqui, simplificamos o complexo.