[Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados

Jose Gaspoz gaspozj en is.com.ar
Lun Dic 5 16:19:50 ART 2016


Alejandro:

Tenemos Zhone, pero supongo podes mas o menos hacer lo mismo.

Saludos

Josè L. gaspoz

-----Original Message-----
From: Diego Rodriguez <drodriguez en starnetworks.com.ar>
To: lista en arnog.com.ar
Cc: Jose Luis Gaspoz <gaspozj en is.com.ar>
Date: Sat, 3 Dec 2016 12:56:20 -0300
Subject: Re: [Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados

> Nosotros tuvimos problemas con con las vulnerabilidades en los
> firmwares de
> Ubiquiti, primero la del servidor http y luego la de dropbear (ssh).
> Asumo
> mi parte de la culpa al creer que tenía aplicados los filtros hacia
> las IPs
> públicas y por esas cosas de la vida... no lo verifiqué dos veces.
> 
> Ahora estamos comenzando con OLT ZTE y ONUs F601 y nos cuesta encontrar
> ejemplos y documentación, si alguno puede aportar algunas ideas o
> ejemplos,
> estaremos agradecidos..
> 
> Saludos,
> 
> 
> Diego F. Rodríguez
> STARNETWORKS
> Redes y Comunicaciones Moreno S.R.L.
> 
> Cel: 15 6660 0035
> Tel: 3220 5923
> 
> El 2 de diciembre de 2016, 17:07, Alejandro Puente
> <apuente en cotelcam.com.ar>
> escribió:
> 
> > Jose Luis:
> >
> > Que marca de plataforma estas usando en FTTH ? Me interesaría
> replicarlo,
> > yo tengo ZTE
> >
> >
> >
> > Saludos
> >
> >
> >
> > Alejandro T. Puente
> >
> > [image: cid:201210031050020671.008D930A4823]
> > Jefe Transmisión de Datos
> > Tel: (54-3327) 44-6702
> > Conmutador: (54-3327) 45-5000, Ext: 55
> > E-mail: apuente en cotelcam.com.ar
> >
> >
> >
> >
> >
> >
> >
> > *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar]
> *En
> > nombre de *Jose Luis Gaspoz
> > *Enviado el:* Viernes, 02 de Diciembre de 2016 01:21 p.m.
> > *Para:* lista en arnog.com.ar
> > *Asunto:* Re: [Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's
> infectados
> >
> >
> >
> >
> >
> > Nosotros en nodos Ftth creamos una estructura aislada, en el CPE una
> Wan
> > en modo vrouter en una Vlan aparte de la de datos que toma ip desde
> un DHCP
> > y los servicios de administracion estan SOLO sobre esa interfaz (ssh,
> http,
> > snmp, etc).
> >
> >
> >
> > Asi los servicios de administracion estan por fuera de la red de
> datos y
> > aislados, ya sea la Wan de datos (que para nosotros es PPPoE) o de
> los
> > puertos Lan de usuarios.
> >
> >
> >
> > Es mas quilombo, porque ni siquiera los tecnicos tienen acceso local,
> pero
> > nos evitamos que el cliente (o los ataques) vengan de cualquier lado
> de
> > datos.
> >
> >
> >
> > Advierto que esto lo podemos hacer porque nuestros nodos son
> relativamente
> > chicos, sino se complica.... pero es una opcion.
> >
> >
> >
> > Saludos
> >
> >
> >
> > Ing. Jose Luis Gaspoz
> > Internet Services S.A.
> > Tel: 0342-4565118
> > Cel: 342-5008523
> >
> >
> >
> > *From:* Ivan Chapero <info en ivanchapero.com.ar>
> >
> > *Sent:* Friday, December 02, 2016 12:04 PM
> >
> > *To:* lista en arnog.com.ar
> >
> > *Subject:* [Lista ArNOG] Fwd: [BCOP] Consulta sobre CPE's infectados
> >
> >
> >
> >
> >
> > ---------- Mensaje reenviado ----------
> > De: *Juan Carlos Marquez* <juan.marquez en coop5.com.ar>
> > Fecha: 30 de noviembre de 2016, 9:18
> > Asunto: Re: [BCOP] Consulta sobre CPE's infectados
> > Para: This list is to discuss BCOPs in LACNOG <bcop en lacnog.org>
> >
> > Creo que podria ser un mix de algunas cosas.
> > En nuestro caso los CPE's salen configurados con usuario y clave
> > especificos (no los que vienen por default)
> > Dejamos configurada una access list de un rango de IP's para el
> acceso web
> > (sobre lo que seria el acceso wan del CPE)
> > Usamos una regla de redireccion de puertos DNS
> > y en base a lo que estamos leyendo aqui, se nos ocurrio que podriamos
> > crear un acces list donde definiriamos un ip puntual para acceder a
> la
> > configuracion del mismo dentro de la LAN.
> > Creo que en definitiva lo que tenemos que asegurar es el acceso
> seguro a
> > la configuracion del CPE para poder tomar el control del mismo.
> >
> > Saludos
> > Juan Carlos
> >
> >
> >
> > El 29/11/2016 a las 02:19 p.m., Ariel Weher escribió:
> >
> > Lacier: Hasta donde ví, ahí solo se habla de BCP38.
> >
> >
> >
> > Iván: Dirigir los requests a un DNS local está bueno, aunque yo
> estaba
> > pensando en algo más elaborado.
> >
> >
> >
> > Por ejemplo:
> >
> >
> >
> > Buscar en shodan.io port:"7547" Server: RomPager (estoy trabajando en
> una
> > versión casera de shodan para poder escanear mis propias redes y no
> jorobar
> > al resto)
> >
> >
> >
> > Todos los que tienen rompager 4.07 tienen el bug presente.
> >
> >
> >
> > Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23},
> > quizás se pueda identificar los clientes que tienen estos CPE y
> aplicarles
> > via RADIUS alguna regla de filtrado hacia esos puertos.
> >
> >
> >
> > Otra gente me contó que hicieron unos scripts que se conectan
> remotamente
> > a los dispositivos y los configuran de nuevo, de la misma manera que
> los
> > atacantes, pero esto depende de cada modelo de CPE.
> >
> >
> >
> > En una de esas podemos hacer una tormenta de ideas y documentar las
> que
> > valgan la pena...
> >
> >
> >
> > 2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias en renpac.com.br>:
> >
> > Olhe neste site: http://bcp.nic.br/
> >
> >
> >
> >  Atenciosamente,
> >
> >  Kind regards,
> >
> >
> >
> > *Professor Lacier Dias*
> >
> > Enviado IPhone
> >
> > https://www.linkedin.com/in/lacierdias
> >
> > https://www.facebook.com/lacier.dias
> >
> > Cell e WhatsApp: (043)99185-5550
> >
> > Email: lacier en renpac.com.br
> >
> > Skype: lacier.dias
> >
> >
> >
> > " *A única maneira de fazer um excelente trabalho é amar o que
> você faz.”
> > – Steve Jobs*"
> >
> >
> >
> > Esta mensagem, incluindo seus anexos, pode conter informações
> > confidenciais ou privilegiadas. O direito de uso ou divulgação de
> seu
> > conteúdo se reserva aos seus destinatários ou às pessoas
> autorizadas a
> > recebê-la, estando seu sigilo protegido por lei. Qualquer uso não
> > autorizado está expressamente proibido. Se você recebeu esta
> mensagem por
> > engano, avise ao seu remetente e em seguida apague-a. Obrigado pela
> > colaboração.
> >
> >
> > Em 29 de nov de 2016, às 12:21, Lorenzo Balan <
> > lbalan en speednet-wireless.com> escreveu:
> >
> > Hola Estimado,
> >
> >
> >
> > Cual seria la forma de protegerlos CPE's de los clients para no ser
> > 'hackeado'?
> >
> >
> >
> > Atte
> >
> >
> >
> >
> >
> >
> >
> > *From:* BCOP [mailto:bcop-bounces en lacnog.org
> <bcop-bounces en lacnog.org>] *On
> > Behalf Of *Ariel Weher
> > *Sent:* Tuesday, November 29, 2016 6:53 AM
> > *To:* This list is to discuss BCOPs in LACNOG
> > *Subject:* [BCOP] Consulta sobre CPE's infectados
> >
> >
> >
> > Estimados:
> >
> >
> >
> > Tiro una pregunta:
> >
> >
> >
> > Entiendo que muchos padecemos el problema de los CPE's de clientes 
> que se
> > pueden 'hackear' desde direcciones remotas.
> >
> >
> >
> > ¿Están tomando alguna medida para prevenir estos ataques?
> >
> >
> >
> > S2
> >
> > _______________________________________________
> > BCOP mailing list
> > BCOP en lacnog.org
> > https://mail.lacnic.net/mailman/listinfo/bcop
> >
> >
> > _______________________________________________
> > BCOP mailing list
> > BCOP en lacnog.org
> > https://mail.lacnic.net/mailman/listinfo/bcop
> >
> >
> >
> >
> >
> > _______________________________________________
> >
> > BCOP mailing list
> >
> > BCOP en lacnog.org
> >
> > https://mail.lacnic.net/mailman/listinfo/bcop
> >
> >
> >
> > --
> >
> >
> >
> > ------------------------------
> >
> > [image: Avast logo] <https://www.avast.com/antivirus>
> >
> > El software de antivirus Avast ha analizado este correo electrónico
> en
> > busca de virus.
> > www.avast.com <https://www.avast.com/antivirus>
> >
> >
> >
> >
> > _______________________________________________
> > BCOP mailing list
> > BCOP en lacnog.org
> > https://mail.lacnic.net/mailman/listinfo/bcop
> >
> >
> >
> >
> >
> > --
> >
> >
> > *Ivan Chapero **Área Técnica y Soporte*
> > Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype
> ID:
> > ivanchapero
> >
> > --
> >
> > GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito
> > - Santa Fe - Argentina
> >
> >
> >
> >
> >
> >
> >
> > ------------------------------
> >
> > _______________________________________________
> > Lista mailing list
> > Lista en arnog.com.ar
> > http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> > ------------------------------
> >
> > Se certificó que el correo no contiene virus.
> > Comprobada por AVG - www.avg.com
> > Versión: 2016.0.7924 / Base de datos de virus: 4728/13524 - Fecha de
> la
> > versión: 02/12/2016
> >
> > _______________________________________________
> > Lista mailing list
> > Lista en arnog.com.ar
> > http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >
> >




Más información sobre la lista de distribución Lista