[Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados

Jose Luis Gaspoz gaspozj en is.com.ar
Vie Dic 2 13:21:11 ART 2016 

Nosotros en nodos Ftth creamos una estructura aislada, en el CPE una Wan en modo vrouter en una Vlan aparte de la de datos que toma ip desde un DHCP y los servicios de administracion estan SOLO sobre esa interfaz (ssh, http, snmp, etc).

Asi los servicios de administracion estan por fuera de la red de datos y aislados, ya sea la Wan de datos (que para nosotros es PPPoE) o de los puertos Lan de usuarios.

Es mas quilombo, porque ni siquiera los tecnicos tienen acceso local, pero nos evitamos que el cliente (o los ataques) vengan de cualquier lado de datos.

Advierto que esto lo podemos hacer porque nuestros nodos son relativamente chicos, sino se complica.... pero es una opcion.

Saludos

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

From: Ivan Chapero 
Sent: Friday, December 02, 2016 12:04 PM
To: lista en arnog.com.ar 
Subject: [Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados


---------- Mensaje reenviado ----------
De: Juan Carlos Marquez <juan.marquez en coop5.com.ar>
Fecha: 30 de noviembre de 2016, 9:18
Asunto: Re: [BCOP] Consulta sobre CPE's infectados
Para: This list is to discuss BCOPs in LACNOG <bcop en lacnog.org>



Creo que podria ser un mix de algunas cosas.
En nuestro caso los CPE's salen configurados con usuario y clave especificos (no los que vienen por default)
Dejamos configurada una access list de un rango de IP's para el acceso web (sobre lo que seria el acceso wan del CPE)
Usamos una regla de redireccion de puertos DNS
y en base a lo que estamos leyendo aqui, se nos ocurrio que podriamos crear un acces list donde definiriamos un ip puntual para acceder a la configuracion del mismo dentro de la LAN.
Creo que en definitiva lo que tenemos que asegurar es el acceso seguro a la configuracion del CPE para poder tomar el control del mismo.

Saludos
Juan Carlos 


El 29/11/2016 a las 02:19 p.m., Ariel Weher escribió:

  Lacier: Hasta donde ví, ahí solo se habla de BCP38.

  Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba pensando en algo más elaborado.

  Por ejemplo:

  Buscar en shodan.io port:"7547" Server: RomPager (estoy trabajando en una versión casera de shodan para poder escanear mis propias redes y no jorobar al resto)

  Todos los que tienen rompager 4.07 tienen el bug presente.

  Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23}, quizás se pueda identificar los clientes que tienen estos CPE y aplicarles via RADIUS alguna regla de filtrado hacia esos puertos.

  Otra gente me contó que hicieron unos scripts que se conectan remotamente a los dispositivos y los configuran de nuevo, de la misma manera que los atacantes, pero esto depende de cada modelo de CPE.

  En una de esas podemos hacer una tormenta de ideas y documentar las que valgan la pena...

  2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias en renpac.com.br>:

    Olhe neste site: http://bcp.nic.br/


     Atenciosamente,
     Kind regards,


    Professor Lacier Dias

    Enviado IPhone

    https://www.linkedin.com/in/lacierdias

    https://www.facebook.com/lacier.dias

    Cell e WhatsApp: (043)99185-5550

    Email: lacier en renpac.com.br

    Skype: lacier.dias



    " A única maneira de fazer um excelente trabalho é amar o que você faz.” – Steve Jobs"



    Esta mensagem, incluindo seus anexos, pode conter informações confidenciais ou privilegiadas. O direito de uso ou divulgação de seu conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a recebê-la, estando seu sigilo protegido por lei. Qualquer uso não autorizado está expressamente proibido. Se você recebeu esta mensagem por engano, avise ao seu remetente e em seguida apague-a. Obrigado pela colaboração.


    Em 29 de nov de 2016, às 12:21, Lorenzo Balan <lbalan en speednet-wireless.com> escreveu:


      Hola Estimado,



      Cual seria la forma de protegerlos CPE's de los clients para no ser 'hackeado'?



      Atte







      From: BCOP [mailto:bcop-bounces en lacnog.org] On Behalf Of Ariel Weher
      Sent: Tuesday, November 29, 2016 6:53 AM
      To: This list is to discuss BCOPs in LACNOG
      Subject: [BCOP] Consulta sobre CPE's infectados



      Estimados:



      Tiro una pregunta:



      Entiendo que muchos padecemos el problema de los CPE's de clientes  que se pueden 'hackear' desde direcciones remotas.



      ¿Están tomando alguna medida para prevenir estos ataques?



      S2

      _______________________________________________
      BCOP mailing list
      BCOP en lacnog.org
      https://mail.lacnic.net/mailman/listinfo/bcop


    _______________________________________________
    BCOP mailing list
    BCOP en lacnog.org
    https://mail.lacnic.net/mailman/listinfo/bcop




   

_______________________________________________
BCOP mailing list
BCOP en lacnog.org
https://mail.lacnic.net/mailman/listinfo/bcop


-- 






--------------------------------------------------------------------------------
        El software de antivirus Avast ha analizado este correo electrónico en busca de virus. 
      www.avast.com 
     



_______________________________________________
BCOP mailing list
BCOP en lacnog.org
https://mail.lacnic.net/mailman/listinfo/bcop






-- 

Ivan Chapero
Área Técnica y Soporte 
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero 
--

GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina










--------------------------------------------------------------------------------
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista



--------------------------------------------------------------------------------

Se certificó que el correo no contiene virus.
Comprobada por AVG - www.avg.com
Versión: 2016.0.7924 / Base de datos de virus: 4728/13524 - Fecha de la versión: 02/12/2016
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161202/a260214e/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: jmarquez.png
Type: image/png
Size: 85414 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161202/a260214e/attachment-0001.png>

Más información sobre la lista de distribución Lista