[BCOP] Consulta sobre CPE's infectados

ALEXANDRE GIOVANELI alexandre.giovaneli at gmail.com
Mon Sep 25 19:22:26 BRT 2017 

Depende muito, em media com 200 eles ja fazem alguma coisa como alterar o
arquivo de configurando de boot padrão, alguns fabricantes fazem isto
independente da quantidade como a Intelbras.

Att.

Em 25 de setembro de 2017 19:07, Christian O'Flaherty <oflaherty at isoc.org>
escreveu:

> Muchas gracias Alexandre,
>
> Qué cantidad de equipos deben comprarse para que un fabricante acepte
> configuración a medida?
> Por ejemplo:
>
>
>    -  HTTP:8010
>    -  HTTPS:4343 (quando conseguimos implementar o HTTPS )
>    -  SSH: 2320
>
>
> Christian
>
>
> On 25 Sep 2017, at 19:02, ALEXANDRE GIOVANELI <
> alexandre.giovaneli at gmail.com> wrote:
>
> Senhores boa noite,
>
> Sou novo na lista, e queria compartilhar algumas experiencias de
> homologação de equipamentos para os provedores de internet que são nossos
> clientes:
>
> Atualmente quando compramos diretamente da china um quantidade
> considerável de CPE´s, nos pedimos para modificar a CPE para que tenha as
> seguintes features:
>
>
> *Boas Praticas definidas por nós:*
>
>    -  HTTP:8010
>    -  HTTPS:4343 (quando conseguimos implementar o HTTPS )
>    -  SSH: 2320
>    -  TELNET:DESATIVADO
>    -  SNMP:DESATIVADO
>    -  NTP:FECHADO
>    -  DNS SERVER:DESATIVADO/USA SOMENTE O ENTREGADO PELO PROVEDOR VIA
>    PPPOE ATÉ O CLIENTE.
>    -  TR069: ESPECIFICA UM IP INVALIDO ROTEAVEL NA REDE (10.10.10.254)
>    -  AMBOS SERVIÇOS FECHADOS PARA IPV4/IPV6
>    - USUARIO E SENHA PADRAO ADMIN: DEFINIDO DE FABRICA CRIADO POR NÓS.
>    - USUARIO  E SENHA CLIENTE: SÓ PODE SER USADO DENTRO DA REDE LOCAL,
>    NAO ACESSA REMOTAMENTE
>    - MESMO RESTAURANDO PARA OS PADRÕES DE FABRICA ELE CONTINUA COM AS
>    MESMAS CONFIGURAÇÕES ACIMA
>    - SENHA DO WIFI: USA O MAC ADDRES DO EQUIPAMENTO.
>    - TODAS AS CONEXÕES SÃO ESTABELECIDAS POR PPPPOE ( ELA VEM DE FABRICA
>    DISCANDO UM USER E SENHA PADRÃO)
>    - NO CASO DE CPE WIRELES , ELA PROCURA O SSID MAIS PROXIMO SE CONECTA
>    E TENTA DISCAR O PPPOE PADRAO.
>
>
> Foi constatado que após estas boas praticas, zerou o problema de CPE
> invadidas e também melhoramos e muito a incidência de suportes por
> equipamentos sem configuração.
>
> Acredito que o fato de trocar porta, evita que ROBOTS façam descobertas e
> tentem invadir o equipamento, e o segundo fato é obrigar o cliente usar o
> DNS do provedor  ao invés de usar um DNS RELAY na CPE fazendo com que o
> cliente possa cair em  um phishing.
>
>
>
>
> Att.
>
>
>
> 2017-09-25 18:21 GMT-03:00 Christian O'Flaherty <oflaherty at isoc.org>:
>
>> Para la parte de adquisición podemos comenzar con algunos “checklist” o
>> requerimientos que ya estén usando.
>>
>> Alguno tiene algún RFP para comprar CPEs que pueda compartir?
>>
>> Servirá aunque sea una lista informal estilo:
>>
>> Configuración via ssh
>> Si soporta SNMP, tener posibilidad de filtrar por IP o deshabilitarlo
>> Posibilidad de deshabitar telnet
>> Si tiene acceso web que sea https
>> Poder modificar todos los password que trae por default
>> etc.
>>
>>
>> Christian O’Flaherty - oflaherty at isoc.org
>> Regional Development - Internet Society
>> Skype/Gmail/++: christian.oflaherty
>> Mobile/WhatsApp: +598 98769636 <+598%2098%20769%20636>
>>
>> On 21 Sep 2017, at 15:48, Ariel Weher <ariel at weher.net> wrote:
>>
>> Hola a todos.
>>
>> Siguiendo con el hilo del tema en cuestión, adjunto la URL para empezar a
>> escribir el documento.
>>
>> Nuestra amiga Lucimara Desiderá del Cert.BR tiene intenciones de
>> coordinar la creación del documento de BCOP.
>>
>> Adjunto la URL:
>>
>> https://docs.google.com/document/d/1TuJ2ay_NV-C9CZL26b4JMd7t
>> iXqbzUpi-sH9LvbgQ8k/edit?usp=sharing
>>
>> Cordiales saludos.
>>
>> 2016-11-29 14:19 GMT-03:00 Ariel Weher <ariel at weher.net>:
>>
>>> Lacier: Hasta donde ví, ahí solo se habla de BCP38.
>>>
>>> Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba
>>> pensando en algo más elaborado.
>>>
>>> Por ejemplo:
>>>
>>> Buscar en shodan.io port:"7547" Server: RomPager (estoy trabajando en
>>> una versión casera de shodan para poder escanear mis propias redes y no
>>> jorobar al resto)
>>>
>>> Todos los que tienen rompager 4.07 tienen el bug presente.
>>>
>>> Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23},
>>> quizás se pueda identificar los clientes que tienen estos CPE y aplicarles
>>> via RADIUS alguna regla de filtrado hacia esos puertos.
>>>
>>> Otra gente me contó que hicieron unos scripts que se conectan
>>> remotamente a los dispositivos y los configuran de nuevo, de la misma
>>> manera que los atacantes, pero esto depende de cada modelo de CPE.
>>>
>>> En una de esas podemos hacer una tormenta de ideas y documentar las que
>>> valgan la pena...
>>>
>>> 2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias at renpac.com.br>:
>>>
>>>> Olhe neste site: http://bcp.nic.br/
>>>>
>>>>  Atenciosamente,
>>>>  Kind regards,
>>>>
>>>> *Professor Lacier Dias*
>>>> Enviado IPhone
>>>> https://www.linkedin.com/in/lacierdias
>>>> https://www.facebook.com/lacier.dias
>>>> Cell e WhatsApp: (043)99185-5550 <(43)%2099185-5550>
>>>> Email: lacier at renpac.com.br
>>>> Skype: lacier.dias
>>>>
>>>>
>>>> " *A única maneira de fazer um excelente trabalho é amar o que você
>>>> faz.” – Steve Jobs*"
>>>>
>>>> Esta mensagem, incluindo seus anexos, pode conter informações
>>>> confidenciais ou privilegiadas. O direito de uso ou divulgação de seu
>>>> conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a
>>>> recebê-la, estando seu sigilo protegido por lei. Qualquer uso não
>>>> autorizado está expressamente proibido. Se você recebeu esta mensagem por
>>>> engano, avise ao seu remetente e em seguida apague-a. Obrigado pela
>>>> colaboração.
>>>>
>>>> Em 29 de nov de 2016, às 12:21, Lorenzo Balan <
>>>> lbalan at speednet-wireless.com> escreveu:
>>>>
>>>> Hola Estimado,
>>>>
>>>>
>>>>
>>>> Cual seria la forma de protegerlos CPE's de los clients para no ser
>>>> 'hackeado'?
>>>>
>>>>
>>>>
>>>> Atte
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> *From:* BCOP [mailto:bcop-bounces at lacnog.org <bcop-bounces at lacnog.org>]
>>>> *On Behalf Of *Ariel Weher
>>>> *Sent:* Tuesday, November 29, 2016 6:53 AM
>>>> *To:* This list is to discuss BCOPs in LACNOG
>>>> *Subject:* [BCOP] Consulta sobre CPE's infectados
>>>>
>>>>
>>>>
>>>> Estimados:
>>>>
>>>>
>>>>
>>>> Tiro una pregunta:
>>>>
>>>>
>>>>
>>>> Entiendo que muchos padecemos el problema de los CPE's de clientes  que
>>>> se pueden 'hackear' desde direcciones remotas.
>>>>
>>>>
>>>>
>>>> ¿Están tomando alguna medida para prevenir estos ataques?
>>>>
>>>>
>>>>
>>>> S2
>>>>
>>>> _______________________________________________
>>>> BCOP mailing list
>>>> BCOP at lacnog.org
>>>> https://mail.lacnic.net/mailman/listinfo/bcop
>>>>
>>>>
>>>> _______________________________________________
>>>> BCOP mailing list
>>>> BCOP at lacnog.org
>>>> https://mail.lacnic.net/mailman/listinfo/bcop
>>>>
>>>>
>>>
>> _______________________________________________
>> BCOP mailing list
>> BCOP at lacnog.org
>> https://mail.lacnic.net/mailman/listinfo/bcop
>>
>>
>>
>> _______________________________________________
>> BCOP mailing list
>> BCOP at lacnog.org
>> https://mail.lacnic.net/mailman/listinfo/bcop
>>
>>
>
>
> --
> Alexandre Giovaneli
> Giovaneli Consultoria
> Telefone : 031 9 8255-5555
> Skype: live:alexandre.giovaneli
> giovaneli.net
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>


-- 
Alexandre Giovaneli
Giovaneli Consultoria
Telefone : 031 9 8255-5555
Skype: live:alexandre.giovaneli
giovaneli.net
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/bcop/attachments/20170925/26f0a62b/attachment-0001.html>

More information about the BCOP mailing list