[Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados

Alejandro Puente apuente en cotelcam.com.ar
Vie Dic 2 17:07:07 ART 2016


Jose Luis:

Que marca de plataforma estas usando en FTTH ? Me interesaría replicarlo, yo tengo ZTE

 

Saludos

 

Alejandro T. Puente

cid:201210031050020671.008D930A4823
Jefe Transmisión de Datos 
Tel: (54-3327) 44-6702
Conmutador: (54-3327) 45-5000, Ext: 55
E-mail: apuente en cotelcam.com.ar

 

 

 

De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre de Jose Luis Gaspoz
Enviado el: Viernes, 02 de Diciembre de 2016 01:21 p.m.
Para: lista en arnog.com.ar
Asunto: Re: [Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados

 

 

Nosotros en nodos Ftth creamos una estructura aislada, en el CPE una Wan en modo vrouter en una Vlan aparte de la de datos que toma ip desde un DHCP y los servicios de administracion estan SOLO sobre esa interfaz (ssh, http, snmp, etc).

 

Asi los servicios de administracion estan por fuera de la red de datos y aislados, ya sea la Wan de datos (que para nosotros es PPPoE) o de los puertos Lan de usuarios.

 

Es mas quilombo, porque ni siquiera los tecnicos tienen acceso local, pero nos evitamos que el cliente (o los ataques) vengan de cualquier lado de datos.

 

Advierto que esto lo podemos hacer porque nuestros nodos son relativamente chicos, sino se complica.... pero es una opcion.

 

Saludos

 

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

 

From: Ivan <mailto:info en ivanchapero.com.ar>  Chapero 

Sent: Friday, December 02, 2016 12:04 PM

To: lista en arnog.com.ar 

Subject: [Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados

 

 

---------- Mensaje reenviado ----------
De: Juan Carlos Marquez <juan.marquez en coop5.com.ar>
Fecha: 30 de noviembre de 2016, 9:18
Asunto: Re: [BCOP] Consulta sobre CPE's infectados
Para: This list is to discuss BCOPs in LACNOG <bcop en lacnog.org>



Creo que podria ser un mix de algunas cosas.
En nuestro caso los CPE's salen configurados con usuario y clave especificos (no los que vienen por default)
Dejamos configurada una access list de un rango de IP's para el acceso web (sobre lo que seria el acceso wan del CPE)
Usamos una regla de redireccion de puertos DNS
y en base a lo que estamos leyendo aqui, se nos ocurrio que podriamos crear un acces list donde definiriamos un ip puntual para acceder a la configuracion del mismo dentro de la LAN.
Creo que en definitiva lo que tenemos que asegurar es el acceso seguro a la configuracion del CPE para poder tomar el control del mismo.

Saludos
Juan Carlos 

 

El 29/11/2016 a las 02:19 p.m., Ariel Weher escribió:

Lacier: Hasta donde ví, ahí solo se habla de BCP38.

 

Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba pensando en algo más elaborado.

 

Por ejemplo:

 

Buscar en shodan.io port:"7547" Server: RomPager (estoy trabajando en una versión casera de shodan para poder escanear mis propias redes y no jorobar al resto)

 

Todos los que tienen rompager 4.07 tienen el bug presente.

 

Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23}, quizás se pueda identificar los clientes que tienen estos CPE y aplicarles via RADIUS alguna regla de filtrado hacia esos puertos.

 

Otra gente me contó que hicieron unos scripts que se conectan remotamente a los dispositivos y los configuran de nuevo, de la misma manera que los atacantes, pero esto depende de cada modelo de CPE.

 

En una de esas podemos hacer una tormenta de ideas y documentar las que valgan la pena...

 

2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias en renpac.com.br>:

Olhe neste site: http://bcp.nic.br/

 

 Atenciosamente,

 Kind regards,

 

Professor Lacier Dias

Enviado IPhone

https://www.linkedin.com/in/lacierdias

https://www.facebook.com/lacier.dias

Cell e WhatsApp: (043)99185-5550

Email:  <mailto:lacier en renpac.com.br> lacier en renpac.com.br

Skype: lacier.dias

 

" A única maneira de fazer um excelente trabalho é amar o que você faz.” – Steve Jobs"

 

Esta mensagem, incluindo seus anexos, pode conter informações confidenciais ou privilegiadas. O direito de uso ou divulgação de seu conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a recebê-la, estando seu sigilo protegido por lei. Qualquer uso não autorizado está expressamente proibido. Se você recebeu esta mensagem por engano, avise ao seu remetente e em seguida apague-a. Obrigado pela colaboração.


Em 29 de nov de 2016, às 12:21, Lorenzo Balan <lbalan en speednet-wireless.com> escreveu:

Hola Estimado,

 

Cual seria la forma de protegerlos CPE's de los clients para no ser 'hackeado'?

 

Atte

 

 

 

From: BCOP [mailto:bcop-bounces en lacnog.org] On Behalf Of Ariel Weher
Sent: Tuesday, November 29, 2016 6:53 AM
To: This list is to discuss BCOPs in LACNOG
Subject: [BCOP] Consulta sobre CPE's infectados

 

Estimados:

 

Tiro una pregunta:

 

Entiendo que muchos padecemos el problema de los CPE's de clientes  que se pueden 'hackear' desde direcciones remotas.

 

¿Están tomando alguna medida para prevenir estos ataques?

 

S2

_______________________________________________
BCOP mailing list
BCOP en lacnog.org
https://mail.lacnic.net/mailman/listinfo/bcop


_______________________________________________
BCOP mailing list
BCOP en lacnog.org
https://mail.lacnic.net/mailman/listinfo/bcop

 





_______________________________________________
BCOP mailing list
BCOP en lacnog.org
https://mail.lacnic.net/mailman/listinfo/bcop

 

-- 




 

  _____  


 <https://www.avast.com/antivirus> Avast logo

El software de antivirus Avast ha analizado este correo electrónico en busca de virus. 
www.avast.com <https://www.avast.com/antivirus>  

 


_______________________________________________
BCOP mailing list
BCOP en lacnog.org
https://mail.lacnic.net/mailman/listinfo/bcop





 

-- 

Ivan Chapero
Área Técnica y Soporte 
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero 

--

GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina









  _____  

_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

  _____  

Se certificó que el correo no contiene virus.
Comprobada por AVG - www.avg.com
Versión: 2016.0.7924 / Base de datos de virus: 4728/13524 - Fecha de la versión: 02/12/2016

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161202/8450468d/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 1932 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161202/8450468d/attachment-0001.jpg>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image002.png
Type: image/png
Size: 85414 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161202/8450468d/attachment-0001.png>


Más información sobre la lista de distribución Lista