[BCOP] Consulta sobre CPE's infectados

ALEXANDRE GIOVANELI alexandre.giovaneli at gmail.com
Mon Sep 25 19:02:49 BRT 2017 

Senhores boa noite,

Sou novo na lista, e queria compartilhar algumas experiencias de
homologação de equipamentos para os provedores de internet que são nossos
clientes:

Atualmente quando compramos diretamente da china um quantidade considerável
de CPE´s, nos pedimos para modificar a CPE para que tenha as seguintes
features:


*Boas Praticas definidas por nós:*

   -  HTTP:8010
   -  HTTPS:4343 (quando conseguimos implementar o HTTPS )
   -  SSH: 2320
   -  TELNET:DESATIVADO
   -  SNMP:DESATIVADO
   -  NTP:FECHADO
   -  DNS SERVER:DESATIVADO/USA SOMENTE O ENTREGADO PELO PROVEDOR VIA PPPOE
   ATÉ O CLIENTE.
   -  TR069: ESPECIFICA UM IP INVALIDO ROTEAVEL NA REDE (10.10.10.254)
   -  AMBOS SERVIÇOS FECHADOS PARA IPV4/IPV6
   - USUARIO E SENHA PADRAO ADMIN: DEFINIDO DE FABRICA CRIADO POR NÓS.
   - USUARIO  E SENHA CLIENTE: SÓ PODE SER USADO DENTRO DA REDE LOCAL, NAO
   ACESSA REMOTAMENTE
   - MESMO RESTAURANDO PARA OS PADRÕES DE FABRICA ELE CONTINUA COM AS
   MESMAS CONFIGURAÇÕES ACIMA
   - SENHA DO WIFI: USA O MAC ADDRES DO EQUIPAMENTO.
   - TODAS AS CONEXÕES SÃO ESTABELECIDAS POR PPPPOE ( ELA VEM DE FABRICA
   DISCANDO UM USER E SENHA PADRÃO)
   - NO CASO DE CPE WIRELES , ELA PROCURA O SSID MAIS PROXIMO SE CONECTA E
   TENTA DISCAR O PPPOE PADRAO.


Foi constatado que após estas boas praticas, zerou o problema de CPE
invadidas e também melhoramos e muito a incidência de suportes por
equipamentos sem configuração.

Acredito que o fato de trocar porta, evita que ROBOTS façam descobertas e
tentem invadir o equipamento, e o segundo fato é obrigar o cliente usar o
DNS do provedor  ao invés de usar um DNS RELAY na CPE fazendo com que o
cliente possa cair em  um phishing.




Att.



2017-09-25 18:21 GMT-03:00 Christian O'Flaherty <oflaherty at isoc.org>:

> Para la parte de adquisición podemos comenzar con algunos “checklist” o
> requerimientos que ya estén usando.
>
> Alguno tiene algún RFP para comprar CPEs que pueda compartir?
>
> Servirá aunque sea una lista informal estilo:
>
> Configuración via ssh
> Si soporta SNMP, tener posibilidad de filtrar por IP o deshabilitarlo
> Posibilidad de deshabitar telnet
> Si tiene acceso web que sea https
> Poder modificar todos los password que trae por default
> etc.
>
>
> Christian O’Flaherty - oflaherty at isoc.org
> Regional Development - Internet Society
> Skype/Gmail/++: christian.oflaherty
> Mobile/WhatsApp: +598 98769636 <+598%2098%20769%20636>
>
> On 21 Sep 2017, at 15:48, Ariel Weher <ariel at weher.net> wrote:
>
> Hola a todos.
>
> Siguiendo con el hilo del tema en cuestión, adjunto la URL para empezar a
> escribir el documento.
>
> Nuestra amiga Lucimara Desiderá del Cert.BR tiene intenciones de coordinar
> la creación del documento de BCOP.
>
> Adjunto la URL:
>
> https://docs.google.com/document/d/1TuJ2ay_NV-C9CZL26b4JMd7tiXqbzUpi-
> sH9LvbgQ8k/edit?usp=sharing
>
> Cordiales saludos.
>
> 2016-11-29 14:19 GMT-03:00 Ariel Weher <ariel at weher.net>:
>
>> Lacier: Hasta donde ví, ahí solo se habla de BCP38.
>>
>> Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba
>> pensando en algo más elaborado.
>>
>> Por ejemplo:
>>
>> Buscar en shodan.io port:"7547" Server: RomPager (estoy trabajando en
>> una versión casera de shodan para poder escanear mis propias redes y no
>> jorobar al resto)
>>
>> Todos los que tienen rompager 4.07 tienen el bug presente.
>>
>> Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23},
>> quizás se pueda identificar los clientes que tienen estos CPE y aplicarles
>> via RADIUS alguna regla de filtrado hacia esos puertos.
>>
>> Otra gente me contó que hicieron unos scripts que se conectan remotamente
>> a los dispositivos y los configuran de nuevo, de la misma manera que los
>> atacantes, pero esto depende de cada modelo de CPE.
>>
>> En una de esas podemos hacer una tormenta de ideas y documentar las que
>> valgan la pena...
>>
>> 2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias at renpac.com.br>:
>>
>>> Olhe neste site: http://bcp.nic.br/
>>>
>>>  Atenciosamente,
>>>  Kind regards,
>>>
>>> *Professor Lacier Dias*
>>> Enviado IPhone
>>> https://www.linkedin.com/in/lacierdias
>>> https://www.facebook.com/lacier.dias
>>> Cell e WhatsApp: (043)99185-5550 <(43)%2099185-5550>
>>> Email: lacier at renpac.com.br
>>> Skype: lacier.dias
>>>
>>>
>>> " *A única maneira de fazer um excelente trabalho é amar o que você
>>> faz.” – Steve Jobs*"
>>>
>>> Esta mensagem, incluindo seus anexos, pode conter informações
>>> confidenciais ou privilegiadas. O direito de uso ou divulgação de seu
>>> conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a
>>> recebê-la, estando seu sigilo protegido por lei. Qualquer uso não
>>> autorizado está expressamente proibido. Se você recebeu esta mensagem por
>>> engano, avise ao seu remetente e em seguida apague-a. Obrigado pela
>>> colaboração.
>>>
>>> Em 29 de nov de 2016, às 12:21, Lorenzo Balan <
>>> lbalan at speednet-wireless.com> escreveu:
>>>
>>> Hola Estimado,
>>>
>>>
>>>
>>> Cual seria la forma de protegerlos CPE's de los clients para no ser
>>> 'hackeado'?
>>>
>>>
>>>
>>> Atte
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> *From:* BCOP [mailto:bcop-bounces at lacnog.org <bcop-bounces at lacnog.org>] *On
>>> Behalf Of *Ariel Weher
>>> *Sent:* Tuesday, November 29, 2016 6:53 AM
>>> *To:* This list is to discuss BCOPs in LACNOG
>>> *Subject:* [BCOP] Consulta sobre CPE's infectados
>>>
>>>
>>>
>>> Estimados:
>>>
>>>
>>>
>>> Tiro una pregunta:
>>>
>>>
>>>
>>> Entiendo que muchos padecemos el problema de los CPE's de clientes  que
>>> se pueden 'hackear' desde direcciones remotas.
>>>
>>>
>>>
>>> ¿Están tomando alguna medida para prevenir estos ataques?
>>>
>>>
>>>
>>> S2
>>>
>>> _______________________________________________
>>> BCOP mailing list
>>> BCOP at lacnog.org
>>> https://mail.lacnic.net/mailman/listinfo/bcop
>>>
>>>
>>> _______________________________________________
>>> BCOP mailing list
>>> BCOP at lacnog.org
>>> https://mail.lacnic.net/mailman/listinfo/bcop
>>>
>>>
>>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>


-- 
Alexandre Giovaneli
Giovaneli Consultoria
Telefone : 031 9 8255-5555
Skype: live:alexandre.giovaneli
giovaneli.net
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/bcop/attachments/20170925/837ec7d6/attachment-0001.html>

More information about the BCOP mailing list