[BCOP] Consulta sobre CPE's infectados

Christian O'Flaherty oflaherty at isoc.org
Mon Sep 25 19:07:39 BRT 2017 

Muchas gracias Alexandre, 

Qué cantidad de equipos deben comprarse para que un fabricante acepte configuración a medida?
Por ejemplo:
>  HTTP:8010
>  HTTPS:4343 (quando conseguimos implementar o HTTPS )
>  SSH: 2320

Christian


> On 25 Sep 2017, at 19:02, ALEXANDRE GIOVANELI <alexandre.giovaneli at gmail.com> wrote:
> 
> Senhores boa noite,
> 
> Sou novo na lista, e queria compartilhar algumas experiencias de homologação de equipamentos para os provedores de internet que são nossos clientes:
> 
> Atualmente quando compramos diretamente da china um quantidade considerável de CPE´s, nos pedimos para modificar a CPE para que tenha as seguintes features:
> 
> 
> Boas Praticas definidas por nós:
>  HTTP:8010
>  HTTPS:4343 (quando conseguimos implementar o HTTPS )
>  SSH: 2320
>  TELNET:DESATIVADO
>  SNMP:DESATIVADO
>  NTP:FECHADO
>  DNS SERVER:DESATIVADO/USA SOMENTE O ENTREGADO PELO PROVEDOR VIA PPPOE ATÉ O CLIENTE.
>  TR069: ESPECIFICA UM IP INVALIDO ROTEAVEL NA REDE (10.10.10.254)
>  AMBOS SERVIÇOS FECHADOS PARA IPV4/IPV6
> USUARIO E SENHA PADRAO ADMIN: DEFINIDO DE FABRICA CRIADO POR NÓS.
> USUARIO  E SENHA CLIENTE: SÓ PODE SER USADO DENTRO DA REDE LOCAL, NAO ACESSA REMOTAMENTE
> MESMO RESTAURANDO PARA OS PADRÕES DE FABRICA ELE CONTINUA COM AS MESMAS CONFIGURAÇÕES ACIMA
> SENHA DO WIFI: USA O MAC ADDRES DO EQUIPAMENTO.
> TODAS AS CONEXÕES SÃO ESTABELECIDAS POR PPPPOE ( ELA VEM DE FABRICA DISCANDO UM USER E SENHA PADRÃO)
> NO CASO DE CPE WIRELES , ELA PROCURA O SSID MAIS PROXIMO SE CONECTA E TENTA DISCAR O PPPOE PADRAO.
> 
> Foi constatado que após estas boas praticas, zerou o problema de CPE invadidas e também melhoramos e muito a incidência de suportes por equipamentos sem configuração.
> 
> Acredito que o fato de trocar porta, evita que ROBOTS façam descobertas e tentem invadir o equipamento, e o segundo fato é obrigar o cliente usar o DNS do provedor  ao invés de usar um DNS RELAY na CPE fazendo com que o cliente possa cair em  um phishing.
> 
> 
> 
> 
> Att.  
> 
> 
> 
> 2017-09-25 18:21 GMT-03:00 Christian O'Flaherty <oflaherty at isoc.org <mailto:oflaherty at isoc.org>>:
> Para la parte de adquisición podemos comenzar con algunos “checklist” o requerimientos que ya estén usando.
> 
> Alguno tiene algún RFP para comprar CPEs que pueda compartir?
> 
> Servirá aunque sea una lista informal estilo:
> 
> Configuración via ssh
> Si soporta SNMP, tener posibilidad de filtrar por IP o deshabilitarlo
> Posibilidad de deshabitar telnet
> Si tiene acceso web que sea https
> Poder modificar todos los password que trae por default 
> etc.
>  
> 
> Christian O’Flaherty - oflaherty at isoc.org <mailto:oflaherty at isoc.org>
> Regional Development - Internet Society
> Skype/Gmail/++: christian.oflaherty
> Mobile/WhatsApp: +598 98769636 <tel:+598%2098%20769%20636>
>> On 21 Sep 2017, at 15:48, Ariel Weher <ariel at weher.net <mailto:ariel at weher.net>> wrote:
>> 
>> Hola a todos.
>> 
>> Siguiendo con el hilo del tema en cuestión, adjunto la URL para empezar a escribir el documento.
>> 
>> Nuestra amiga Lucimara Desiderá del Cert.BR tiene intenciones de coordinar la creación del documento de BCOP.
>> 
>> Adjunto la URL:
>> 
>> https://docs.google.com/document/d/1TuJ2ay_NV-C9CZL26b4JMd7tiXqbzUpi-sH9LvbgQ8k/edit?usp=sharing <https://docs.google.com/document/d/1TuJ2ay_NV-C9CZL26b4JMd7tiXqbzUpi-sH9LvbgQ8k/edit?usp=sharing>
>> 
>> Cordiales saludos.
>> 
>> 2016-11-29 14:19 GMT-03:00 Ariel Weher <ariel at weher.net <mailto:ariel at weher.net>>:
>> Lacier: Hasta donde ví, ahí solo se habla de BCP38.
>> 
>> Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba pensando en algo más elaborado.
>> 
>> Por ejemplo:
>> 
>> Buscar en shodan.io <http://shodan.io/> port:"7547" Server: RomPager (estoy trabajando en una versión casera de shodan para poder escanear mis propias redes y no jorobar al resto)
>> 
>> Todos los que tienen rompager 4.07 tienen el bug presente.
>> 
>> Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23}, quizás se pueda identificar los clientes que tienen estos CPE y aplicarles via RADIUS alguna regla de filtrado hacia esos puertos.
>> 
>> Otra gente me contó que hicieron unos scripts que se conectan remotamente a los dispositivos y los configuran de nuevo, de la misma manera que los atacantes, pero esto depende de cada modelo de CPE.
>> 
>> En una de esas podemos hacer una tormenta de ideas y documentar las que valgan la pena...
>> 
>> 2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias at renpac.com.br <mailto:lacier.dias at renpac.com.br>>:
>> Olhe neste site: http://bcp.nic.br/ <http://bcp.nic.br/>
>>  
>>  Atenciosamente,
>>  Kind regards,
>>  
>> Professor Lacier Dias
>> Enviado IPhone
>> https://www.linkedin.com/in/lacierdias <https://www.linkedin.com/in/lacierdias>
>> https://www.facebook.com/lacier.dias <https://www.facebook.com/lacier.dias>
>> Cell e WhatsApp: (043)99185-5550 <tel:(43)%2099185-5550>
>> Email: lacier at renpac.com.br <mailto:lacier at renpac.com.br>
>> Skype: lacier.dias
>>  
>> " A única maneira de fazer um excelente trabalho é amar o que você faz.” – Steve Jobs"
>>  
>> Esta mensagem, incluindo seus anexos, pode conter informações confidenciais ou privilegiadas. O direito de uso ou divulgação de seu conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a recebê-la, estando seu sigilo protegido por lei. Qualquer uso não autorizado está expressamente proibido. Se você recebeu esta mensagem por engano, avise ao seu remetente e em seguida apague-a. Obrigado pela colaboração.
>> 
>> Em 29 de nov de 2016, às 12:21, Lorenzo Balan <lbalan at speednet-wireless.com <mailto:lbalan at speednet-wireless.com>> escreveu:
>> 
>>> Hola Estimado,
>>> 
>>>  
>>> 
>>> Cual seria la forma de protegerlos CPE's de los clients para no ser 'hackeado'?
>>> 
>>>  
>>> 
>>> Atte
>>> 
>>>  
>>> 
>>>  
>>> 
>>>  
>>> 
>>> From: BCOP [mailto:bcop-bounces at lacnog.org <mailto:bcop-bounces at lacnog.org>] On Behalf Of Ariel Weher
>>> Sent: Tuesday, November 29, 2016 6:53 AM
>>> To: This list is to discuss BCOPs in LACNOG
>>> Subject: [BCOP] Consulta sobre CPE's infectados
>>> 
>>>  
>>> 
>>> Estimados:
>>> 
>>>  
>>> 
>>> Tiro una pregunta:
>>> 
>>>  
>>> 
>>> Entiendo que muchos padecemos el problema de los CPE's de clientes  que se pueden 'hackear' desde direcciones remotas.
>>> 
>>>  
>>> 
>>> ¿Están tomando alguna medida para prevenir estos ataques?
>>> 
>>>  
>>> 
>>> S2
>>> 
>>> _______________________________________________
>>> BCOP mailing list
>>> BCOP at lacnog.org <mailto:BCOP at lacnog.org>
>>> https://mail.lacnic.net/mailman/listinfo/bcop <https://mail.lacnic.net/mailman/listinfo/bcop>
>> 
>> _______________________________________________
>> BCOP mailing list
>> BCOP at lacnog.org <mailto:BCOP at lacnog.org>
>> https://mail.lacnic.net/mailman/listinfo/bcop <https://mail.lacnic.net/mailman/listinfo/bcop>
>> 
>> 
>> 
>> _______________________________________________
>> BCOP mailing list
>> BCOP at lacnog.org <mailto:BCOP at lacnog.org>
>> https://mail.lacnic.net/mailman/listinfo/bcop <https://mail.lacnic.net/mailman/listinfo/bcop>
> 
> 
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org <mailto:BCOP at lacnog.org>
> https://mail.lacnic.net/mailman/listinfo/bcop <https://mail.lacnic.net/mailman/listinfo/bcop>
> 
> 
> 
> 
> -- 
> Alexandre Giovaneli
> Giovaneli Consultoria
> Telefone : 031 9 8255-5555
> Skype: live:alexandre.giovaneli
> giovaneli.net <http://giovaneli.net/>
> 
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/bcop/attachments/20170925/97eabecc/attachment-0001.html>

More information about the BCOP mailing list