[GTER] RES: Ataque TP LINK

marcelo marcelo at mbgtecnologias.com.br
Wed Dec 17 16:52:33 -02 2014 

Outro problema que percebemos com  Roteadores TP-link quando faz a borda do
cliente (Autenticado PPPOE e recebendo IP válido na porta WAN), por algum
motivo ele altera o DNS que forcamos ele a pegar, o cliente começa ter
grandes problemas na navegação e em alguns casos usa absurdamente a taxa de
upload do cliente, sendo necessário dar um reset nele ou até mesmo trocar.

Não só na TP-link como outros de modelos de roteadores, e roteadores FTTX
vinham acontecendo esse fatos, como solução fechamos de todos clientes a
porta 80,21,22 e 23 por medida de segurança em nosso firewall, vindo a
liberar somente quem realmente precisa dessas portas para algum tipo de
serviço, acesso remoto e outros. Lembrando que dependendo o equipamento o
camarada pode acessar via SSH ou Telnet e alterar alguma configuração do
equipamento caso o técnico na hora de configurar o equipamento relaxar e não
trocar as senhas padrões. 

Assim resolvemos todos os problemas que tínhamos até o presente momento  com
antenas UBNT, roteadores TP-link e roteadores FTTX.

Tivemos um caso muito interessante algum tempo atrás, certo dia vimos que
subiu drasticamente a banda no backbone nosso, e fomos verificar quem seria
o possível cliente usando tudo aquilo de banda e analisando os cores que
autentica, em um deles vimos um cliente home com o perfil residêncial de
3mega download/ 1mega UP em Fibra óptica, roteador óptico 3 em 1 ( modem
óptico com roteamento contendo nele saídas elétricas, wireless e voz)
usando quase 200 mb de Upload e a queue no core que autenticava o cliente
não conseguindo segurar o trafego. Mesmo derrubando o cliente quando ele
autenticava novamente voltava todo o consumo de banda novamente.  Foi
necessário de imediato bloquear o cliente e posteriormente ir até o cliente
substituir a peça. Após esse fato travamos as portas 22 e 23 , resolveu o
problema e em seguida veio os problemas com TP-link e fechamos as demais
portas. 



Abraços 





-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Neuri
Enviada em: quarta-feira, 17 de dezembro de 2014 09:42
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Ataque TP LINK

Roteadores TP-Link estão aceitando conexões externas pela porta 80, ou vc
muda as config de todos os que tem na rede ou faz uma regra geral de
firewall para isso.


On 11/12/2014 12:55, jose marildo rufino ribeiro Marildo wrote:
> Bom dia
>
> Srs
>
> Observaram aumento de incidentes sobre este Roteador  TP LINK
>
> Referente ao  DOS  desscrito na CVE-2014-9350 
> <http://www.cvedetails.com/cve/CVE-2014-9350/>
>
> Att.
>
> *Jose Marildo Rufino Ribeiro*
>
> *Especialist Information Technology*
>
> Professional Certificate ITIL
>
> Professional Certificate ISO  27002 Information Security
>
> Professional Certificate ISO  20000 IT Service Management
>
> Professional Certificate COBIT
>
> Microsoft Gold Member MVA
>
> *josemarildorufinoribeiro at gmail.com 
> <josemarildorufinoribeiro at gmail.com>*
> +55(11) 97507 3361
> +55(11) 2312  9319
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

--
gter list    https://eng.registro.br/mailman/listinfo/gter


---
Este email está limpo de vírus e malwares porque a proteção do avast! Antivírus está ativa.
http://www.avast.com

More information about the gter mailing list