[BCOP] Consulta sobre CPE's infectados
Christian O'Flaherty
oflaherty at isoc.org
Mon Sep 25 19:07:39 BRT 2017
Muchas gracias Alexandre,
Qué cantidad de equipos deben comprarse para que un fabricante acepte configuración a medida?
Por ejemplo:
> HTTP:8010
> HTTPS:4343 (quando conseguimos implementar o HTTPS )
> SSH: 2320
Christian
> On 25 Sep 2017, at 19:02, ALEXANDRE GIOVANELI <alexandre.giovaneli at gmail.com> wrote:
>
> Senhores boa noite,
>
> Sou novo na lista, e queria compartilhar algumas experiencias de homologação de equipamentos para os provedores de internet que são nossos clientes:
>
> Atualmente quando compramos diretamente da china um quantidade considerável de CPE´s, nos pedimos para modificar a CPE para que tenha as seguintes features:
>
>
> Boas Praticas definidas por nós:
> HTTP:8010
> HTTPS:4343 (quando conseguimos implementar o HTTPS )
> SSH: 2320
> TELNET:DESATIVADO
> SNMP:DESATIVADO
> NTP:FECHADO
> DNS SERVER:DESATIVADO/USA SOMENTE O ENTREGADO PELO PROVEDOR VIA PPPOE ATÉ O CLIENTE.
> TR069: ESPECIFICA UM IP INVALIDO ROTEAVEL NA REDE (10.10.10.254)
> AMBOS SERVIÇOS FECHADOS PARA IPV4/IPV6
> USUARIO E SENHA PADRAO ADMIN: DEFINIDO DE FABRICA CRIADO POR NÓS.
> USUARIO E SENHA CLIENTE: SÓ PODE SER USADO DENTRO DA REDE LOCAL, NAO ACESSA REMOTAMENTE
> MESMO RESTAURANDO PARA OS PADRÕES DE FABRICA ELE CONTINUA COM AS MESMAS CONFIGURAÇÕES ACIMA
> SENHA DO WIFI: USA O MAC ADDRES DO EQUIPAMENTO.
> TODAS AS CONEXÕES SÃO ESTABELECIDAS POR PPPPOE ( ELA VEM DE FABRICA DISCANDO UM USER E SENHA PADRÃO)
> NO CASO DE CPE WIRELES , ELA PROCURA O SSID MAIS PROXIMO SE CONECTA E TENTA DISCAR O PPPOE PADRAO.
>
> Foi constatado que após estas boas praticas, zerou o problema de CPE invadidas e também melhoramos e muito a incidência de suportes por equipamentos sem configuração.
>
> Acredito que o fato de trocar porta, evita que ROBOTS façam descobertas e tentem invadir o equipamento, e o segundo fato é obrigar o cliente usar o DNS do provedor ao invés de usar um DNS RELAY na CPE fazendo com que o cliente possa cair em um phishing.
>
>
>
>
> Att.
>
>
>
> 2017-09-25 18:21 GMT-03:00 Christian O'Flaherty <oflaherty at isoc.org <mailto:oflaherty at isoc.org>>:
> Para la parte de adquisición podemos comenzar con algunos “checklist” o requerimientos que ya estén usando.
>
> Alguno tiene algún RFP para comprar CPEs que pueda compartir?
>
> Servirá aunque sea una lista informal estilo:
>
> Configuración via ssh
> Si soporta SNMP, tener posibilidad de filtrar por IP o deshabilitarlo
> Posibilidad de deshabitar telnet
> Si tiene acceso web que sea https
> Poder modificar todos los password que trae por default
> etc.
>
>
> Christian O’Flaherty - oflaherty at isoc.org <mailto:oflaherty at isoc.org>
> Regional Development - Internet Society
> Skype/Gmail/++: christian.oflaherty
> Mobile/WhatsApp: +598 98769636 <tel:+598%2098%20769%20636>
>> On 21 Sep 2017, at 15:48, Ariel Weher <ariel at weher.net <mailto:ariel at weher.net>> wrote:
>>
>> Hola a todos.
>>
>> Siguiendo con el hilo del tema en cuestión, adjunto la URL para empezar a escribir el documento.
>>
>> Nuestra amiga Lucimara Desiderá del Cert.BR tiene intenciones de coordinar la creación del documento de BCOP.
>>
>> Adjunto la URL:
>>
>> https://docs.google.com/document/d/1TuJ2ay_NV-C9CZL26b4JMd7tiXqbzUpi-sH9LvbgQ8k/edit?usp=sharing <https://docs.google.com/document/d/1TuJ2ay_NV-C9CZL26b4JMd7tiXqbzUpi-sH9LvbgQ8k/edit?usp=sharing>
>>
>> Cordiales saludos.
>>
>> 2016-11-29 14:19 GMT-03:00 Ariel Weher <ariel at weher.net <mailto:ariel at weher.net>>:
>> Lacier: Hasta donde ví, ahí solo se habla de BCP38.
>>
>> Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba pensando en algo más elaborado.
>>
>> Por ejemplo:
>>
>> Buscar en shodan.io <http://shodan.io/> port:"7547" Server: RomPager (estoy trabajando en una versión casera de shodan para poder escanear mis propias redes y no jorobar al resto)
>>
>> Todos los que tienen rompager 4.07 tienen el bug presente.
>>
>> Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23}, quizás se pueda identificar los clientes que tienen estos CPE y aplicarles via RADIUS alguna regla de filtrado hacia esos puertos.
>>
>> Otra gente me contó que hicieron unos scripts que se conectan remotamente a los dispositivos y los configuran de nuevo, de la misma manera que los atacantes, pero esto depende de cada modelo de CPE.
>>
>> En una de esas podemos hacer una tormenta de ideas y documentar las que valgan la pena...
>>
>> 2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias at renpac.com.br <mailto:lacier.dias at renpac.com.br>>:
>> Olhe neste site: http://bcp.nic.br/ <http://bcp.nic.br/>
>>
>> Atenciosamente,
>> Kind regards,
>>
>> Professor Lacier Dias
>> Enviado IPhone
>> https://www.linkedin.com/in/lacierdias <https://www.linkedin.com/in/lacierdias>
>> https://www.facebook.com/lacier.dias <https://www.facebook.com/lacier.dias>
>> Cell e WhatsApp: (043)99185-5550 <tel:(43)%2099185-5550>
>> Email: lacier at renpac.com.br <mailto:lacier at renpac.com.br>
>> Skype: lacier.dias
>>
>> " A única maneira de fazer um excelente trabalho é amar o que você faz.” – Steve Jobs"
>>
>> Esta mensagem, incluindo seus anexos, pode conter informações confidenciais ou privilegiadas. O direito de uso ou divulgação de seu conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a recebê-la, estando seu sigilo protegido por lei. Qualquer uso não autorizado está expressamente proibido. Se você recebeu esta mensagem por engano, avise ao seu remetente e em seguida apague-a. Obrigado pela colaboração.
>>
>> Em 29 de nov de 2016, às 12:21, Lorenzo Balan <lbalan at speednet-wireless.com <mailto:lbalan at speednet-wireless.com>> escreveu:
>>
>>> Hola Estimado,
>>>
>>>
>>>
>>> Cual seria la forma de protegerlos CPE's de los clients para no ser 'hackeado'?
>>>
>>>
>>>
>>> Atte
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> From: BCOP [mailto:bcop-bounces at lacnog.org <mailto:bcop-bounces at lacnog.org>] On Behalf Of Ariel Weher
>>> Sent: Tuesday, November 29, 2016 6:53 AM
>>> To: This list is to discuss BCOPs in LACNOG
>>> Subject: [BCOP] Consulta sobre CPE's infectados
>>>
>>>
>>>
>>> Estimados:
>>>
>>>
>>>
>>> Tiro una pregunta:
>>>
>>>
>>>
>>> Entiendo que muchos padecemos el problema de los CPE's de clientes que se pueden 'hackear' desde direcciones remotas.
>>>
>>>
>>>
>>> ¿Están tomando alguna medida para prevenir estos ataques?
>>>
>>>
>>>
>>> S2
>>>
>>> _______________________________________________
>>> BCOP mailing list
>>> BCOP at lacnog.org <mailto:BCOP at lacnog.org>
>>> https://mail.lacnic.net/mailman/listinfo/bcop <https://mail.lacnic.net/mailman/listinfo/bcop>
>>
>> _______________________________________________
>> BCOP mailing list
>> BCOP at lacnog.org <mailto:BCOP at lacnog.org>
>> https://mail.lacnic.net/mailman/listinfo/bcop <https://mail.lacnic.net/mailman/listinfo/bcop>
>>
>>
>>
>> _______________________________________________
>> BCOP mailing list
>> BCOP at lacnog.org <mailto:BCOP at lacnog.org>
>> https://mail.lacnic.net/mailman/listinfo/bcop <https://mail.lacnic.net/mailman/listinfo/bcop>
>
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org <mailto:BCOP at lacnog.org>
> https://mail.lacnic.net/mailman/listinfo/bcop <https://mail.lacnic.net/mailman/listinfo/bcop>
>
>
>
>
> --
> Alexandre Giovaneli
> Giovaneli Consultoria
> Telefone : 031 9 8255-5555
> Skype: live:alexandre.giovaneli
> giovaneli.net <http://giovaneli.net/>
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/bcop/attachments/20170925/97eabecc/attachment-0001.html>
More information about the BCOP
mailing list