[Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados

Diego Rodriguez drodriguez en starnetworks.com.ar
Sab Dic 3 12:56:20 ART 2016


Nosotros tuvimos problemas con con las vulnerabilidades en los firmwares de
Ubiquiti, primero la del servidor http y luego la de dropbear (ssh). Asumo
mi parte de la culpa al creer que tenía aplicados los filtros hacia las IPs
públicas y por esas cosas de la vida... no lo verifiqué dos veces.

Ahora estamos comenzando con OLT ZTE y ONUs F601 y nos cuesta encontrar
ejemplos y documentación, si alguno puede aportar algunas ideas o ejemplos,
estaremos agradecidos..

Saludos,


Diego F. Rodríguez
STARNETWORKS
Redes y Comunicaciones Moreno S.R.L.

Cel: 15 6660 0035
Tel: 3220 5923

El 2 de diciembre de 2016, 17:07, Alejandro Puente <apuente en cotelcam.com.ar>
escribió:

> Jose Luis:
>
> Que marca de plataforma estas usando en FTTH ? Me interesaría replicarlo,
> yo tengo ZTE
>
>
>
> Saludos
>
>
>
> Alejandro T. Puente
>
> [image: cid:201210031050020671.008D930A4823]
> Jefe Transmisión de Datos
> Tel: (54-3327) 44-6702
> Conmutador: (54-3327) 45-5000, Ext: 55
> E-mail: apuente en cotelcam.com.ar
>
>
>
>
>
>
>
> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] *En
> nombre de *Jose Luis Gaspoz
> *Enviado el:* Viernes, 02 de Diciembre de 2016 01:21 p.m.
> *Para:* lista en arnog.com.ar
> *Asunto:* Re: [Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados
>
>
>
>
>
> Nosotros en nodos Ftth creamos una estructura aislada, en el CPE una Wan
> en modo vrouter en una Vlan aparte de la de datos que toma ip desde un DHCP
> y los servicios de administracion estan SOLO sobre esa interfaz (ssh, http,
> snmp, etc).
>
>
>
> Asi los servicios de administracion estan por fuera de la red de datos y
> aislados, ya sea la Wan de datos (que para nosotros es PPPoE) o de los
> puertos Lan de usuarios.
>
>
>
> Es mas quilombo, porque ni siquiera los tecnicos tienen acceso local, pero
> nos evitamos que el cliente (o los ataques) vengan de cualquier lado de
> datos.
>
>
>
> Advierto que esto lo podemos hacer porque nuestros nodos son relativamente
> chicos, sino se complica.... pero es una opcion.
>
>
>
> Saludos
>
>
>
> Ing. Jose Luis Gaspoz
> Internet Services S.A.
> Tel: 0342-4565118
> Cel: 342-5008523
>
>
>
> *From:* Ivan Chapero <info en ivanchapero.com.ar>
>
> *Sent:* Friday, December 02, 2016 12:04 PM
>
> *To:* lista en arnog.com.ar
>
> *Subject:* [Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados
>
>
>
>
>
> ---------- Mensaje reenviado ----------
> De: *Juan Carlos Marquez* <juan.marquez en coop5.com.ar>
> Fecha: 30 de noviembre de 2016, 9:18
> Asunto: Re: [BCOP] Consulta sobre CPE's infectados
> Para: This list is to discuss BCOPs in LACNOG <bcop en lacnog.org>
>
> Creo que podria ser un mix de algunas cosas.
> En nuestro caso los CPE's salen configurados con usuario y clave
> especificos (no los que vienen por default)
> Dejamos configurada una access list de un rango de IP's para el acceso web
> (sobre lo que seria el acceso wan del CPE)
> Usamos una regla de redireccion de puertos DNS
> y en base a lo que estamos leyendo aqui, se nos ocurrio que podriamos
> crear un acces list donde definiriamos un ip puntual para acceder a la
> configuracion del mismo dentro de la LAN.
> Creo que en definitiva lo que tenemos que asegurar es el acceso seguro a
> la configuracion del CPE para poder tomar el control del mismo.
>
> Saludos
> Juan Carlos
>
>
>
> El 29/11/2016 a las 02:19 p.m., Ariel Weher escribió:
>
> Lacier: Hasta donde ví, ahí solo se habla de BCP38.
>
>
>
> Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba
> pensando en algo más elaborado.
>
>
>
> Por ejemplo:
>
>
>
> Buscar en shodan.io port:"7547" Server: RomPager (estoy trabajando en una
> versión casera de shodan para poder escanear mis propias redes y no jorobar
> al resto)
>
>
>
> Todos los que tienen rompager 4.07 tienen el bug presente.
>
>
>
> Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23},
> quizás se pueda identificar los clientes que tienen estos CPE y aplicarles
> via RADIUS alguna regla de filtrado hacia esos puertos.
>
>
>
> Otra gente me contó que hicieron unos scripts que se conectan remotamente
> a los dispositivos y los configuran de nuevo, de la misma manera que los
> atacantes, pero esto depende de cada modelo de CPE.
>
>
>
> En una de esas podemos hacer una tormenta de ideas y documentar las que
> valgan la pena...
>
>
>
> 2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias en renpac.com.br>:
>
> Olhe neste site: http://bcp.nic.br/
>
>
>
>  Atenciosamente,
>
>  Kind regards,
>
>
>
> *Professor Lacier Dias*
>
> Enviado IPhone
>
> https://www.linkedin.com/in/lacierdias
>
> https://www.facebook.com/lacier.dias
>
> Cell e WhatsApp: (043)99185-5550
>
> Email: lacier en renpac.com.br
>
> Skype: lacier.dias
>
>
>
> " *A única maneira de fazer um excelente trabalho é amar o que você faz.”
> – Steve Jobs*"
>
>
>
> Esta mensagem, incluindo seus anexos, pode conter informações
> confidenciais ou privilegiadas. O direito de uso ou divulgação de seu
> conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a
> recebê-la, estando seu sigilo protegido por lei. Qualquer uso não
> autorizado está expressamente proibido. Se você recebeu esta mensagem por
> engano, avise ao seu remetente e em seguida apague-a. Obrigado pela
> colaboração.
>
>
> Em 29 de nov de 2016, às 12:21, Lorenzo Balan <
> lbalan en speednet-wireless.com> escreveu:
>
> Hola Estimado,
>
>
>
> Cual seria la forma de protegerlos CPE's de los clients para no ser
> 'hackeado'?
>
>
>
> Atte
>
>
>
>
>
>
>
> *From:* BCOP [mailto:bcop-bounces en lacnog.org <bcop-bounces en lacnog.org>] *On
> Behalf Of *Ariel Weher
> *Sent:* Tuesday, November 29, 2016 6:53 AM
> *To:* This list is to discuss BCOPs in LACNOG
> *Subject:* [BCOP] Consulta sobre CPE's infectados
>
>
>
> Estimados:
>
>
>
> Tiro una pregunta:
>
>
>
> Entiendo que muchos padecemos el problema de los CPE's de clientes  que se
> pueden 'hackear' desde direcciones remotas.
>
>
>
> ¿Están tomando alguna medida para prevenir estos ataques?
>
>
>
> S2
>
> _______________________________________________
> BCOP mailing list
> BCOP en lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
> _______________________________________________
> BCOP mailing list
> BCOP en lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
>
>
>
> _______________________________________________
>
> BCOP mailing list
>
> BCOP en lacnog.org
>
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
>
> --
>
>
>
> ------------------------------
>
> [image: Avast logo] <https://www.avast.com/antivirus>
>
> El software de antivirus Avast ha analizado este correo electrónico en
> busca de virus.
> www.avast.com <https://www.avast.com/antivirus>
>
>
>
>
> _______________________________________________
> BCOP mailing list
> BCOP en lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
>
>
>
> --
>
>
> *Ivan Chapero **Área Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
> ivanchapero
>
> --
>
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
> - Santa Fe - Argentina
>
>
>
>
>
>
>
> ------------------------------
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> ------------------------------
>
> Se certificó que el correo no contiene virus.
> Comprobada por AVG - www.avg.com
> Versión: 2016.0.7924 / Base de datos de virus: 4728/13524 - Fecha de la
> versión: 02/12/2016
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161203/0e8b4a94/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 1932 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161203/0e8b4a94/attachment-0001.jpg>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image002.png
Type: image/png
Size: 85414 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161203/0e8b4a94/attachment-0001.png>


Más información sobre la lista de distribución Lista