Seguranca da Informacao para Provedores de Internet
Um provedor de internet e, por natureza, um alvo atrativo para atacantes. Voce tem acesso a dados pessoais de milhares de clientes, controla a infraestrutura de conectividade de uma regiao inteira, e muitas vezes opera com equipe tecnica enxuta e orcamento limitado para seguranca.
Neste guia, vamos implementar praticas de seguranca da informacao baseadas na ISO 27001, adaptadas para a realidade e orcamento de ISPs brasileiros.
1. Controle de acesso
O principio mais basico e mais violado em provedores: quem tem acesso a que.
Equipamentos de rede
# MikroTik - criar usuarios individuais (NUNCA usar admin compartilhado)
/user
add name=joao group=full password=SenhaForte123! comment="Joao - NOC"
add name=maria group=read password=SenhaForte456! comment="Maria - Suporte L1"
# Desabilitar usuario admin padrao
set [find name=admin] disabled=yes
# Restringir acesso por IP
/ip service
set ssh address=172.20.1.0/24
set winbox address=172.20.1.0/24
set www disabled=yes
set www-ssl disabled=yes
set telnet disabled=yes
set ftp disabled=yes
set api address=172.20.1.0/24Niveis de acesso recomendados
| Funcao | Equipamento rede | Billing | RADIUS | Logs CGNAT | OLT |
|---|---|---|---|---|---|
| NOC Senior | Full | Leitura | Full | Full | Full |
| NOC Junior | Leitura | Nao | Leitura | Nao | Leitura |
| Suporte N1 | Nao | Leitura | Nao | Nao | Nao |
| Financeiro | Nao | Full | Nao | Nao | Nao |
| Gerencia | Leitura | Full | Leitura | Leitura | Leitura |
Senhas e autenticacao
- Politica de senhas: minimo 12 caracteres, com complexidade
- MFA (2FA): obrigatorio para acesso a equipamentos de borda e billing
- Gerenciador de senhas: Bitwarden (open source) ou KeePassXC para a equipe
- Rotacao: a cada 90 dias para acessos criticos
- Nunca: mesma senha em dois sistemas, senhas em planilhas, senhas no WhatsApp do grupo
# Bitwarden self-hosted (Docker) — gerenciador de senhas da equipe
docker run -d --name bitwarden \
-v /opt/bitwarden/data:/data \
-p 127.0.0.1:8080:80 \
-e ADMIN_TOKEN=TokenAdminForte2026! \
vaultwarden/server:latest2. Seguranca de rede
Segmentacao
Separe as redes por funcao:
- Management VLAN: acesso a equipamentos (SSH, Winbox, SNMP) — isolada
- Clientes: trafego de assinantes — sem acesso a management
- Servidores internos: billing, RADIUS, logs — acesso restrito
- DMZ: servicos publicos (DNS, portal, central do assinante)
Firewall na borda
# MikroTik - protecao basica do BRAS
/ip firewall filter
# Aceitar established/related
add chain=input connection-state=established,related action=accept
# Dropar invalid
add chain=input connection-state=invalid action=drop
# Aceitar ICMP limitado
add chain=input protocol=icmp limit=10,5:packet action=accept
add chain=input protocol=icmp action=drop
# Aceitar management apenas da VLAN de gestao
add chain=input src-address=172.20.1.0/24 action=accept comment="Management"
# Aceitar RADIUS dos NAS
add chain=input protocol=udp dst-port=1812,1813 src-address-list=radius-nas action=accept
# Aceitar BGP dos peers
add chain=input protocol=tcp dst-port=179 src-address-list=bgp-peers action=accept
# Drop tudo mais
add chain=input action=drop comment="Drop all other input"Resolva isso automaticamente com NATVault
Teste gratis por 14 dias. Sem cartao de credito.
Comecar teste gratis3. Criptografia
Dados em transito
- SSH: unico protocolo para acesso remoto a equipamentos (desabilitar telnet)
- HTTPS: para todos os portais web (billing, central assinante, NATVault)
- RADIUS: usar RadSec (RADIUS sobre TLS) quando possivel
- SNMP: v3 com authPriv para equipamentos acessiveis fora da management VLAN
Dados em repouso
- Backups: criptografar antes de enviar off-site
- Banco de dados: criptografia at-rest (MariaDB encryption plugin)
- Logs CGNAT: armazenar em sistema com controle de acesso (NATVault tem autenticacao)
# Criptografar backup antes de enviar para cloud
# Usando age (moderno, simples, seguro)
age -e -r age1xxxxxxx /backup/mysql/full-latest.sql.gz \
> /backup/encrypted/full-latest.sql.gz.age
# Ou com GPG
gpg --symmetric --cipher-algo AES256 \
/backup/mysql/full-latest.sql.gz4. Plano de resposta a incidentes
Todo provedor precisa de um plano documentado para responder a incidentes de seguranca:
Classificacao de incidentes
| Severidade | Exemplo | Tempo resposta | Quem aciona |
|---|---|---|---|
| Critico | Invasao do BRAS, vazamento de dados | 15 min | CTO + juridico + ANPD |
| Alto | DDoS, ransomware em servidor | 30 min | NOC + CTO |
| Medio | Tentativa de invasao detectada | 2 horas | NOC |
| Baixo | Port scan, brute force bloqueado | 24 horas | NOC (registro) |
Procedimento para incidente critico
- Conter: isolar o sistema comprometido (desconectar da rede se necessario)
- Avaliar: determinar escopo do comprometimento
- Preservar evidencias: snapshots, logs, dumps de memoria
- Erradicar: remover acesso do atacante, corrigir vulnerabilidade
- Recuperar: restaurar servico a partir de backup limpo
- Notificar: ANPD (em 72h se dados pessoais), clientes afetados, policia se necessario
- Documentar: post-mortem completo com licoes aprendidas
5. Seguranca fisica
- POPs e torres: cadeado de qualidade, camera de seguranca, alarme de porta aberta
- Data center: acesso biometrico ou chave controlada, registro de entrada/saida
- Equipamentos de campo: caixas de emenda com lacre, CTOs com trava
- Descarte de hardware: wipe seguro de discos antes de descartar/vender
6. Requisitos LGPD de seguranca
A LGPD exige que controladores implementem medidas de seguranca "aptas a proteger os dados pessoais" (Art. 46). Para ISPs, isso inclui:
- Controle de acesso baseado em funcao (RBAC)
- Registro de log de acesso a dados pessoais (quem acessou o que, quando)
- Criptografia de dados sensiveis
- Backup e recuperacao de dados
- Testes periodicos de seguranca (pentest ao menos anual)
- Treinamento de funcionarios sobre protecao de dados
ROPA (Registro de Operacoes de Tratamento)
Documente cada operacao de tratamento de dados pessoais:
| Atividade | Dados tratados | Base legal | Retencao |
|---|---|---|---|
| Cadastro de cliente | Nome, CPF, endereco, tel | Contrato | Ate 5 anos apos cancelamento |
| Registro de conexao | IP, MAC, timestamps | Obrigacao legal (Marco Civil) | 1 ano |
| Logs CGNAT | IP pub, portas, IP privado | Obrigacao legal | 1 ano |
| Cobranca | Dados financeiros | Contrato | 5 anos (fiscal) |
| Marketing | Email, telefone | Consentimento | Ate revogacao |
7. Treinamento da equipe
O elo mais fraco da seguranca e sempre o humano. Treinamentos essenciais:
- Phishing: como identificar emails e mensagens falsas (trimestral)
- Senhas: uso do gerenciador, nao compartilhar, nao reutilizar (na admissao)
- Engenharia social: nunca fornecer credenciais por telefone/WhatsApp
- LGPD basico: o que sao dados pessoais, como tratar, direitos do titular
- Incidentes: como reportar suspeita de comprometimento
Resolva isso automaticamente com NATVault
Teste gratis por 14 dias. Sem cartao de credito.
Comecar teste gratisPerguntas Frequentes
Preciso de certificacao ISO 27001 para meu provedor?
Nao e obrigatorio, mas e um diferencial competitivo. Para provedores pequenos, o custo de certificacao (R$ 30.000-80.000) pode nao justificar. O mais importante e implementar as praticas da norma — controle de acesso, gestao de riscos, resposta a incidentes — mesmo sem a certificacao formal.
Como fazer pentest sem gastar muito?
Opcoes economicas: ferramentas open source (Nmap, OpenVAS, Nikto) para scan interno, bug bounty informal com a comunidade de seguranca brasileira, ou contratar pentest focado nos ativos mais criticos (borda de rede + portal do assinante) em vez de escopo completo. Custo: R$ 5.000-15.000 vs R$ 50.000+ para escopo total.
O que fazer se descobrir um vazamento de dados?
1) Conter imediatamente. 2) Avaliar escopo. 3) Notificar ANPD em ate 72 horas (Art. 48 LGPD). 4) Notificar titulares afetados se houver risco relevante. 5) Documentar tudo. 6) Implementar correcoes. Ter um advogado de dados pessoais e essencial nesse momento.
SNMP community "public" e um risco real?
Sim. Com SNMP community conhecida e acesso a rede de gerencia, um atacante pode obter informacoes completas sobre sua infraestrutura (interfaces, rotas, ARPs, sessoes), e em SNMPv2c com write access, pode ate alterar configuracoes. Troque para community nao-padrao e restrinja por ACL imediatamente.