[GTER] RES: Falhas em roteadores tp-link

Renato Frederick renato at frederick.eti.br
Mon Jul 20 23:16:19 -03 2020


Opa!

Então, eu até aceito receber um CGNAT, se tiver IPv6, acesso meus
equipamentos de fora. Porém o drama começa quando preciso acessar de alguém
que não configura IPv6, fica nesta tecla ai de "performance"..
Mas acho que este "mito" vem da época de Windows + Teredo, não? Aquilo dava
muito problema.
Pior é que eu já estive "do outro lado", tem também dono de provedor não
querer configurar IPv6, falar que é invenção minha para justificar
consultoria, só aceitou depois que levou aquela desclassificada para prover
serviços de telecom ao governo. Aí veio desesperado querendo "prá ontem"
IPv6.
Mas é bem pior, tem datacenter aí que não fornece, eu até hoje tenho
tunel Ipv6 com a Hurricane.

Abraços

Em seg., 20 de jul. de 2020 às 11:19, Gondim <gondim at linuxinfo.com.br>
escreveu:

> Grande Frederick,
>
> Pois é. Essa é uma realidade que vemos até em grandes operadoras. Esses
> dias o Cristian Cardoso, que deve estar acompanhando essa thread, me
> falou sobre uma que atende ele e o técnico lhe disse que fazia parte do
> treinamento deles desabilitar o IPv6 porque causava problemas, inclusive
> problemas no Wifi kkkkkk. Desse jeito eu vejo que a Seleção Natural de
> Charles Darwin também**vai se aplicar bem nesses provedores todos que
> ainda acham que:
>
> 1º IPv4 não acabou e que nem vai acabar.
>
> 2º IPv6 é causador de todos os problemas da Internet.
>
> 3º Boas Práticas são só para ASes grandes e que possuem equipes internas
> capacitadas.
>
> Para todos que ainda pensam desse jeito só tenho a dizer o seguinte:
>
> 1º IPv4 acabou para muitos já.
>
> 2º CGNAT só é possível se você ainda tiver IPv4 para fazê-lo. Não
> preciso dizer o que o vai acontecer quando acabar.
>
> 3º Sem as boas práticas tu sofrerás com os assinantes insatisfeitos e
> assim os perderás para aqueles mais bem preparados.
>
> Ou seja "Seleção Natural" pura e simples.
>
> Em 18/07/2020 04:12, Renato Frederick escreveu:
> > Boa Colocação Gondim.
> >
> > Eu estou em uma cidade menor de MG a trabalho, pedi para colocar fibra em
> > casa, me colocam um huawei hg8245h, legal, PPPoE, VLAN, tem até preparado
> > para ativar VOIP em breve. Considerando que nesta mesma cidade a uns anos
> > atrás neste mesmo local  existia só Wifi e não dava IP válido, apenas
> NAT,
> > é um avanço muito bom..
> >
> > Porém:
> >
> > WAN configurada sem IPv6;
> > Como pedi IP Púlico, por padrão, estava gerência da WAN habilitada na
> porta
> > 80;
> > Login padrão de Fábrica permitido pela WAN.
> >
> > Como antes deu um pequeno problema e não colocaram meu perfil com IP
> > Público, estava com CGNAT, tive que ser atendido pelos técnicos e bati um
> > papo sobre estas coisas:
> > Sobre IPV6, informaram que desabilitam "porque dá muito problema", ele
> > aproveitou pra lembrar que na hora de instalar o pessoal de campo viu na
> > minha casa um PS4 e provavelmente eu teria problemas na PSN se ativasse
> > IPv6(!!!!)
> > Sobre o login padrão, informaram que iriam alterar automaticamente assim
> > que liberasse o IP Público(até hj está assim).
> > Sobre gerenciar por padrão, falaram que devia ser só o meu que foi
> assim....
> >
> > Conversei sobre o IPv6 e no final ele me pediu o link do material da
> GTER.
> > Eu vejo muito disso, tem gente até esforçada, mas tem um gap muito grande
> > em conhecimento, aí cria estes "mitos": IPv6 dá problema em PSN... etc.
> > Sendo que o cabeçalho enxuto melhora peformance.
> > Infelizmente o restante não dá para engolir, a sorte é que a maioria de
> > cliente tem GCNAT, pois eu fui em um cliente que também usa este
> provedor,
> > com IP 100.x e resolvi abrir um IP qualquer da subrede que recebi e..
> Login
> > padrão novamente pela WAN.
> >
> > Internamente dá até problema, pois mesmo o  hg8245h encriptando a senha,
>> > para salvar a conf e aplicar no outro modem, usando login de terceiros no
> > modem da gente para aumentar velocidade(pois não bloqueia login
> > simultâneo). Mas eu creio que existe algum treinamento do fornecedor, mas
> > podemos estender este assunto para muitas vertentes, normalmente não tem
> > tempo para treinar, algumas empresas não investem em treinamento, o
> > funcionário é exigido em demasia e não tem direito a estudar on-line,
> etc..
> >
> > Em sex., 17 de jul. de 2020 às 12:33, Gondim <gondim at linuxinfo.com.br>
> > escreveu:
> >
> >> Opa Márcio,
> >>
> >> Infelizmente tem muito "ISP" que ainda acha que a Internet é só plugar e
> >> se funcionar está OK. Querem colocar logo muitos assinantes em sua
> >> carteira para faturar e não procuram seguir o mínimo das boas práticas.
> >>
> >> Lógico que vão existir casos onde o próprio assinante, com acesso ao seu
> >> router, vai conseguir deixá-lo inseguro em algum momento. Mas coisas
> >> absurdas como router com as credenciais padrões de fábrica e acesso
> >> remoto liberado são coisas que os técnicos já deveriam intervir no
> >> momento da instalação e orientar o assinante. Nós aqui usamos firmwares
> >> baseadas em OpenWRT da Anlix, o flashbox e estamos muito satisfeitos
> >> pelos resultados e segurança. Sem falar que já vai configurado pra Dual
> >> Stack (IPv4/IPv6).
> >>
> >> Eu ainda bato na tecla que todo AS deveria seguir as boa práticas, ter
> >> registros atualizados no PeeringDB (Facebook do AS), IPv6, IRR, RPKI,
> >> procurar ingressar no MANRS ou pelo menos tentar implementar as
> >> orientações deles, etc. Mas a desculpa, que não considero desculpa é:
> >> são ASes tão pequenos e não tem gente qualificada pra executar. Não tem
> >> gente mas pode contratar uma consultoria e fazer a coisa certa. O
> >> problema é que muitos querem ganhar dinheiro mas não se importam em
> >> fazer a coisa certa e aí fazem de qualquer maneira. São esses muitos que
> >> acabam transformando sua rede de assinantes em enormes botnets, trazendo
> >> grandes prejuízos pra comunidade e insatisfação pra o seu cliente.
> >>
> >> Enquanto não acordarmos e começarmos à fazer melhor o que já fazemos,
> >> não seremos melhores... seremos só mais um no meio de muitos.
> >>
> >> Em 13/07/2020 19:00, Márcio Elias Hahn do Nascimento escreveu:
> >>> Então Elizandro. Utilizamos massivamente modelos da tp-link, e não
> >>> tivemos relatos ainda. Detalhe, portas de acesso fechadas ao mundo
> >>> exterior...
> >>>
> >>> Em uma pesquisa rápida esse final de semana achei muitos AS's vizinhos
> >>> ao meu com grande parte dos acessos a CPE's expostos, e pior, muitos
> com
> >>> credenciais padrões ou facilmente quebráveis, ai complica a segurança
> >>> mesmo.
> >>>
> >>> Vale a pena o pessoal rever as regras de acesso a gerência desses
> >>> equipamentos.
> >>>
> >>> Em 2020-07-13 18:25, Elizandro Pacheco escreveu:
> >>>
> >>>> Eu estou com um C6 propositalmente exposto pra tentar pegar um
> >> infectado para uma análise melhor.
> >>>> Mas tá demorando hehe
> >>>>
> >>>> Elizandro Pacheco
> >>>>
> >>>> -----Mensagem original-----
> >>>> De: gter <gter-bounces at eng.registro.br> Em nome de Lucas Willian
> Bocchi
> >>>> Enviada em: segunda-feira, 13 de julho de 2020 18:23
> >>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> >> gter at eng.registro.br>
> >>>> Assunto: Re: [GTER] Falhas em roteadores tp-link
> >>>>
> >>>> Pelo que identificamos são todos os que possuem aquele recurso cloud
> da
> >> tp-link.
> >>>> A maioria são roteadores que estão dentro da infra. Os nossos clientes
> >> quase todos utilizam uma solução de firmware aberta com OpenWRT
> >> customizado, então só conseguimos notar ou nos que trocaram os
> roteadores
> >> fornecidos pelo provedor por outros (não temos como negar ao cliente o
> >> direito de mudar) e que possuem versão cloud. Estes da linha WR-849N
> são os
> >> preferidos para jogar esta firmware alterada e notamos que os mais
> afetados
> >> seriam os da linha ARCHER.
> >>>> Em seg., 13 de jul. de 2020 às 18:12, Andre Almeida <
> andre at bnet.com.br>
> >>>> escreveu:
> >>>>
> >>>> Isso eu também queria saber.... qual o tipo do ataque.
> >>>>
> >>>> Em seg., 13 de jul. de 2020 às 17:58, Bruno Cabral
> >>>> <bruno at openline.com.br>
> >>>> escreveu:
> >>>>
> >>>> Ataque externo motivado por acesso wan sem gerência, ataque externo
> >>>> mesmo com medidas protetivas de wan, backdoor da nsa ou ataque
> >>>> interno, estilo javascript?
> >>>> ________________________________
> >>>> De: gter <gter-bounces at eng.registro.br> em nome de Carlos Wander <
> >>>> carlos.wander at gmail.com>
> >>>> Enviado: segunda-feira, 13 de julho de 2020 17:37
> >>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> >>>> gter at eng.registro.br>
> >>>> Assunto: Re: [GTER] Falhas em roteadores tp-link
> >>>>
> >>>> Prezado Lucas,
> >>>>
> >>>> Há muitos comentários no grupos de WhatsAPP do "Loucos por Telecom",
> >> "UBNT OFICIAL", etc.
> >>>> O pessoal postou exemplos de como o ataque ocorre, comentários sobre
> >>>> a TP-link ainda não ter se manifestado e dicas de como recuperar os
> >>>> equipamentos.
> >>>>
> >>>> Há casos de provedores com mais de 2000 equipamentos afetados.
> >>>>
> >>>> At.te.,
> >>>>
> >>>> C. Wander
> >>>>
> >>>> Em seg., 13 de jul. de 2020 às 17:12, Lucas Willian Bocchi <
> >>>> lucas.bocchi at gmail.com> escreveu:
> >>>>
> >>>> Boa tarde senhores.
> >>>>
> >>>> Estamos enfrentando problemas em alguns clientes com roteadores
> >>>> tp-link que simplesmente pararam de funcionar ou não estão funcionando
> >> direito.
> >>>> Procuramos por alguma notícia em sites nacionais sobre o problema
> >>>> mas
> >>>  não
> >>>
> >>>>> vimos nada de notícia sobre esse problema ser uma falha de
> >>>>> segurança ou algum ataque.
> >>>>> Os senhores tiveram este problema em suas infras? Tem alguma
> >>>>> notícia oficial do assunto?
> >>>>> --
> >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>  --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>  --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >>   ⢀⣴⠾⠻⢶⣦⠀  Marcelo Gondim
> >>   ⣾⠁⢠⠒⠀⣿⡁  Sysadmin - https://www.linuxinfo.com.br
> >>   ⢿⡄⠘⠷⠚⠋   DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
> >>   ⠈⠳⣄⠀⠀⠀⠀  Logic will get you from A to B. Imagination will take you
> >> everywhere. (Albert Einstein)
> >>
> >>
> >>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
>   ⢀⣴⠾⠻⢶⣦⠀  Marcelo Gondim
>   ⣾⠁⢠⠒⠀⣿⡁  Sysadmin - https://www.linuxinfo.com.br
>   ⢿⡄⠘⠷⠚⠋   DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
>   ⠈⠳⣄⠀⠀⠀⠀  Logic will get you from A to B. Imagination will take you
> everywhere. (Albert Einstein)
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list