Alerta de vírus ubnt 6.0.3 e descaso da ubnt

[gutemberg]

Acredito que bloqueando a porta 22 e 23 para toda a rede interna, ou seja rede interna sem acesso a essas portas. Um drop em IP > firewall > filter apontando para a rede interna especialmente das antenas, permitindo acesso somente de alguns ips específicos, proteje sobre qualquer, ataques nessas portas, tanto externo quanto interno.

[gutemberg]

Teoria não amigo, descrevi uma das várias possibilidades para aumentar a segurança nesses equipamentos, você quer os comandos para copiar e colar ? É isso ?

Kkkk eu crio e passo para você. Copiar e colar.

[gutemberg]

Os Picas de antigamente não estão mais entre nós por aqui.. Enjoados estão rsrs

[ShadowRed]

Kkkk eu crio e passo para você. Copiar e colar.

Não ri não amigo, é muito importante nesse cenário o bloqueio na ubiquiti também, rodando no shell dela o filtro. Porque se você executar o exploit de uma máquina atrás dela, rede doméstica ela vai sofrer o ataque. E foi o que disse em relação a usar a versão mais antiga executando esse script.

[gutemberg]

Não ri não amigo, é muito importante nesse cenário o bloqueio na ubiquiti também, rodando no shell dela o filtro. Porque se você executar o exploit de uma máquina atrás dela, rede doméstica ela vai sofrer o ataque. E foi o que disse em relação a usar a versão mais antiga executando esse script.

Tranquilo.. [emoji6]

[Nks]

olha eu gosto muito da ubiquiti, em 2010 quando comecei a migra minha rede 2.4 para 5.8
a ubiquiti com o seu AirMax (TDMA) mudou o provedor da agua pro vinho com custo baixo!

uso ubnt desde 2010 sempre fui fã, sempre vesti a camisa deles, principalmente aquela que eles deram no forum!!!! kkkk

mais eles falharam no seu sistema AirOS, esse worm comecou la em 2012 e foi evoluindo
e falar que eh culpa do ISP por nao ter firewall...... sei la acho isso um descaso!

agora mais descaso ainda eh o cidadao achar que uma RB450G vai fazer papel de firewall!! e vai proteger toda a sua rede!!! kkkkkkkkk

firewall bom eh cisco nao tem conversa, firewall bom cisco vai ate de 40 mil reais pra mais!
e ai vc vai por isso pra "proteger" antena roteada em cliente final?

piada neh!?

[Bruno]

gnt o que o rpassistencia faz é somente trabalhar com vlan e ip de gerencia ex: o pppoe da o ip valido pro cliente e usa uma rede privada pra gerencia ai em cima desta rede privada ele faz um drop nas porta 80, 443 e 22 isto é normal
além de a gerencia ser em uma rede privada tem o firewall
isto tem que ser feito pq a ubnt vacila com a questão de segurança pois em outros fabricante vc não tem este problema

porem o dia que acontecer de uma versão ter falha de segurança permitindo o que a versao 5.5.9 permitiu e algum cliente com vivus na maquina que abra um socket não vai adianta vc ter a vlan rede de gerencia separada firewall etc, pois qualquer adm de segurança sabe em quanto existir engenharia reversa nada é inviolável

[Bruno]

O fato dele pensar que cisco é vaidade mostra o quanto ele ainda é pequeno como ele diz AMADOR, espero que ele chegue em um ponto com o provedor dele que ele fale não , não tenho que colocar um cisco pois minha 1072 não esta aguentando

[Mitigo]

e outra coisa, estudei sim Segurança e sou formado sim, mais isso não faz de mim o senhor sabichão, mas nesta questão de ubiquiti infelizmente eu penso que não ter um firewall pra proteger isso, é um erro muito primário de quem trabalha com redes, isso é básico. e o fato de eu ter estudado não quer dizer que me dê competência de ir par EUA ter um cartão verde e ganhar 300k por mês... pois tudo isso foi dito no fórum/// onde eu disse que poderia ajudar e todos foram contra dizendo que é impossível e que o problema é na ubnt... ninguém se quer me deu a chance de mostrar ou ao menos concordar... então o fórum não ajuda ninguém, aqui é um jogo onde um quer mostrar que sabe mais que o outro fazendo piadinhas e as pakitas ficam nos bastidores batendo palmas rindo e puxando o saco de quem tem mais argumento... francamente... isso é pobre....

Sou novo no fórum mais já vi que tem uma panela de moderadores​ que não aceita ninguém discordar de suas opiniões.

[ericklobo]

Bom dia pessoal!

Só para agregar...

Firewall não se limita ao ASA...

Com preços bem mais agressivos... Temos Sonicwall que devidamente licenciado, atua muito bem na proteção e solução mais robusta... Podem usar Fortinet com os pés nas costas.

Mas nenhum destes fabricantes tem o poder de proteger falhas de kernel.

[alextaws]

@Bruno

27 Mil clientes?

meus parabéns cara, você é bom no que faz.

PHD?

O tópico mais longo que já vi durante todo o tempo que estou no under linux.

Devo concordar em partes que o @rpassistencia disse.

Como também digo, isso é falha não só da ubiquiti, mais sim de um bom firewall, não tenho o profundo conhecimento dos senhores, leio sempre os post para captar aprendizada.

Tenho muitos clientes, e nessa versão o vírus alegado pelo membro @netuai que abriu o tópico ainda não surgiu, mais já vou ficar de olho.

Eu sempre ajudo dentro das limitações do meu conhecimento. Procurando sempre ajudar com clareza e a melhorar maneira da pessoa que pediu ajudar aprender.

Uma vez decidi pedir ajuda aqui em uma área que não faço nem ideia pra onde vai, claro antes de pedir já vinha uns dias estudando sobre o assunto e teve uma pessoa que não me recordo o nome deu uma resposta padrão tipo "estude, pesquise, se não sabe mude de profissão" resumindo não ajudou, sequer disse oque poderia ser, eu só venho no fórum quando não encontro pelo menos uma pista do que possa ser.

Mais voltando ao assunto, até agora eu não tive este problema.

Bom dia e bom feriado a todos.

[AndrioPJ]

É fato que pecamos em não ter um bom firewall (analogamente falando, deixar as portas de sua casa completamente abertas), mas um sistema seguro também é bem-vindo.

Até em Windows precisa ter um bom firewall, pra quem tem arquivos importantes armazenados nesse sistema sabe o quão assombroso está sendo esse Ransomware (e sempre terá aqueles que vão dizer que usam Linux e bla bla bla).

O que quero dizer com isso? Que firewall é necessário, não modismo.

Não somente um Firewall, mas uma serie de tecnicas de segurança que em 90% dos casos não são praticados pelos proprios Administradores de Redes.
No caso do Windows, por questões de segurança, eu sempre faço o seguinte:
1 - Crio um outro usuario com permissão de administrador e desativo o usuario padrão (Administrador ou Administrator);
2 - Alterar a porta padrão do RDP
3 - Instalo um Firewall e um Anti virus.
4 - Se é servidor, eu desativo a execução automática nas portas USB.
5 - Crio um firewall para limitar quem pode fazer acesso remoto ao servidor, seja por IP conhecido por Know Port.

Cada cabeça é uma sentença, na boa, não vou ficar remendando furo da ubnt, daqui a pouco vamos ter que colocar um puta firewall de alguns MILHARES de Reais para resolver um problema que é do fabricante que diga por passagem ta cagando pros seus clientes, (Eu nunca vi um mikrotik ser invadido) eu ja nao compro essas M@#$% a mais de 3 anos so SXT que ja ta deixando a desejar tb, muita queima de porta LAN.

A solucao ja foi dada aqui, nao precisa de firewall,

- Muda a Porta 80 e 433
- Desabilite qualquer outra porta padrao( ssh, telnet, ...)
- Uma senha por cliente
- Rede Roteada (bridge nem pensar)
- Nao compre mais UBNT

Pronto Problema resolvido.

Deixo aqui algumas considerações:
1 - Problema de segurança em firmware vai existir em todo e qualquer fabricante, é de responsabilidade do Administrador da rede ficar atento e manter a rede atualizada.
2 - Não precisa de um baita firewall... desde que você entenda o fluxo de pacotes, tenha conhecimento em TCP/IP e Protocolos de rede, um simples mikrotik já resolve.
3 - Não ha necessidade de desativar as portas padrão, mas sim alterar o endereço das portas padrão. OBS: se bem que tbm indico desativar as que você não vai usar.
4 - No mais, Nesse quesito de segurança, Roteada ou em bridge, dá na mesma meu caro, pois em qualquer uma delas é possivel o acesso a qualquer outro cliente na rede.

O Problema é firewall SIM, eu provo... Mato a cobra e mostro o pau, quer pagar pra ver?
Independente de ser IP Público ou NAT, o Problema é firewall.
É que nós brasileiros estamos acostumados de só copiar e colar e nunca estudarmos, e colocamos a culpa nos fabricantes. Não adianta mudar as portas no equipamento final, não adianta colocar uma senha das galáxias. Faça um simples teste
Seus clientes usam IP Público... Vcs conseguem acessar as antenas deles só colocando o IP no Browser de qualquer lugar?
Se a resposta for sim, suas redes estão de pernas abertas, isso já é o bastante, vale para o NAT também.

Discordo quanto a parte de não precisa mudar as portas, todo bom Administrador de rede sabe que isso é uma das técnicas básicas e essenciais para segurança.

é que vc não entende certas coisas o problema de virus ou qualquer outro é falha de segurança e pra evitar isto vc ameniza com firewall

vc não pode defender um fabricante que deixa falha de segurança

tenta injetar algum código em cisco, juniper, OS x unix freebsd

tu não vai conseguir a não ser que vc libere isto se chama firewall
ex: invada qualquer deste servidor por ssh
não precisa de firewall não deixe a porta 22 open tu nunca vai conseguir
a não ser que a senha seja 123456

agora a ubnt deixou o motherfuck fazer estrago na porta 22

ninguem aki é loko em falar que firewall não se usa, se deve usar
existe diferença en ataque e invasão ataque vc bloqueia com firewall já invasão infestação é pq alguém deixou de fazer algo o primeiro foi o fabricante neste caso ubnt deixar falha na segurança depois o dono do provedor que poderia ter amenizado com firewall

amenizado pq a falha pode abrir uma porta que vc desconheça tipo ele rodar um telnet na porta 25955 vc nunca vai bloquear esta porta no seu firewall e vai passar entendeu ????

Até cisco tem vulnerabilidade, pesquise na internet por "cisco exploit" e veja os resultados.
E olha que não precisamos ir longe, veja a data do alerta (19 de março de 2017): http://thehackernews.com/2017/03/cis...h-exploit.html

Nenhum fabricante está isento de falhas.
Alias, nenhum sistema na internet está isento.
Não existe proteção com apenas uma técnica.
A unica forma de minimizar os riscos é usar o máximo possível de técnicas de segurança.

Cara deixa de ser teimoso, faz um parto desse rei que mora dentro de vc, a ubnt não tem culpa alguma... Sou especialista, sou formado na área, o Problema é Firewall SIM.

O problema não é tão somente firewall, mas sim falta de uma serie de técnicas.

Os meus estão com as portas SSH ativas, e é a porta 22, não precisa desativar, pois é necessário ela ativa para os devidos inúmeros aplicações que eu venha a usar, o que fiz foi proteger minha rede minhas bordas meu core, aqui só entra e sai o que quero, tenho mais controle na rede do que na minha casa kkkkkkkkk

Manter porta padrão é uma bela falha heim....

[AndrioPJ]

boa noite amigo,
ate que fim uma explanação dentro do conceito, as vezes somos limitados nas palavras e isso faz com que as vezes somos incompreendidos, mas vc de forma sabia soube colocar uma exemplificação ampla de como conduzir uma rede. Aqui eu deixou as portas dos ubnts padrão por que deixo todos os equipamentos da minha rede dentro de uma rede privada, ou seja não tem nenhum nat ou gateway que faz com que meus equipamentos não saem para internet, e so saem para a internet quando eu quero fazer a atualização dos mesmos... e gostei mais ainda, é que, se fazer um resumão de tudo que vc escreveu fica claro, que vc deixa explicado que a maior responsabilidade da segurança de rede é do Administrador e não dos fabricantes, é isso que sempre tento dizer... e no meu entendimento todo equipamento de rede na ultima milha é "burro" temos que cuidar para que ele não seja vulnerável. resumindo o mundo precisa mais de pessoas "profissionais" como vc, é coerente e imparcial...
parabéns.

Pelo que entendi, você isola a gerencia dos equipamentos, deixando eles "dentro de uma rede privada".
Isso evitaria o acesso externo aos equipamentos.... mas, e quanto ao acesso interno?
Vindo do cliente?
Ou seja, o próprio cliente pegou um vírus, e esse vírus está tentando "invadir" o Gateway dele (a CPE da casa do cliente)?
Como fica essa questão? o cliente consegue acessar a CPE dele pelas portas padrões?

[AndrioPJ]

não... todo o pacote de dados que é enviado e recebido dentro da conexão pppoe passa por uma vlan fora da rede dos equipamentos, sem contar com uma regra que filto que faço, que tudo que vinhar de fora em direção as conexões pppoes que não seja resposta para o cliente é dropado...

mas eu não estou me referindo ao trafego WAN dele (conexão ppoe).
mas sim a conexão do cliente até a CPE dele.
Cliente ---- CPE ---- Internet (ou rede interna do provedor)

O cliente, de dentro da casa dele, consegue acessar a CPE dele nas portas padrões?
Pois se conseguir, já é uma falha.
Existem alguns virus que infectam os computadores dos clientes e somente então, tentam infectar o Roteador/Gateway.

[AndrioPJ]

não existe esse caminho aqui... fica sendo apenas cliente -------------concentrador-------internet,,,, ele não enxerga o cpe

Então o cliente disca o PPoE diretamente no computador dele?
Não existe CPE no cliente ou a CPE fica em bridge?
Quais equipamentos você usa?

[AndrioPJ]

vou mandar em anexo.. espero que entenda...Anexo 66778

show, você exemplificou a rede.
mas ainda não respondeu a pergunta.

Esqueça a rede interna do provedor, eu quero saber é da rede interna da casa do cliente... vou até refazer o desenho de antes:

Computador cliente ---- CPE --- Concentrador --- Internet

O cliente, de dentro da casa dele, consegue acessar a CPE dele (que está instalada lá na casa dele) nas portas padrões?
Pois se conseguir, já é uma falha.
Existem alguns virus que infectam os computadores dos clientes e somente então, tentam infectar o Roteador/Gateway.

[AndrioPJ]

o cliente no terminal dele recebe o dhcp da antena, porem o gateway é do concentrador, a antena fica isolada... entendeu????

Não, não entendi... quais equipamentos vc usa?
Pois se for Ubiquiti, mesmo ativando a porta de gerencia externa em VLAN, o cliente ainda consegue, internamente, acessar a CPE que está na casa dele... pode não conseguir acessar de outros clientes do provedor, mas a dele ele consegue, a menos que vc troque as portas padrões.

Pelo que você disse, cliente recebe DHCP da CPE que está na casa dele.
Exemplo:
Cliente pegou o IP 192.168.1.30, Gateway 192.168.1.1

Logo, se o cliente for no navegador dele e digitar 192.168.1.1... ele acessa a CPE.
Veja que o trafego não saiu de dentro da rede interna dele.

[Bruno]

Não, não entendi... quais equipamentos vc usa?
Pois se for Ubiquiti, mesmo ativando a porta de gerencia externa em VLAN, o cliente ainda consegue, internamente, acessar a CPE que está na casa dele... pode não conseguir acessar de outros clientes do provedor, mas a dele ele consegue, a menos que vc troque as portas padrões.

Pelo que você disse, cliente recebe DHCP da CPE que está na casa dele.
Exemplo:
Cliente pegou o IP 192.168.1.30, Gateway 192.168.1.1

Logo, se o cliente for no navegador dele e digitar 192.168.1.1... ele acessa a CPE.
Veja que o trafego não saiu de dentro da rede interna dele.

isto eu quis expor é fato que o cliente vai conseguir acessar normal porém o virus vai afetar apenas aquela cpe

[Bruno]

O modo que o @rpassistencia faz na sua rede esta correto faço assim tb isto segura vamos dizer 99% contra falha
ele simplesmente separa a rede de gerencia dos ips publicos e faz um drop na rede privada não deixando ambas se comunicar
conversamos durante horas no skype ambos queria falar a mesma coisa porém diferente

ai vcs pode me perguntar deste 1% é simples vamos supor que a ubnt em questão deixa uma falha de segurança deixando o gerenciamento por qualquer vlan ou pppoe
ai todo trabalho nosso em isolar o gerenciamento da conexão não vai servir pra nada
ex: o ip de gerencia do ubnt vai ser la 192.168.0.44 o ip do pppoe 200.100.10.2 entao unico ip que acessa as configurações ssh etc é o 192.168.0.44 mais por falha de segurança ele deixou acessar pelo 200.100.10.2 ai ferrou é isto que me refiro que firewall não segura tudo

[Bruno]

@Bruno

27 Mil clientes?

meus parabéns cara, você é bom no que faz.

PHD?

O tópico mais longo que já vi durante todo o tempo que estou no under linux.

Devo concordar em partes que o @rpassistencia disse.

Como também digo, isso é falha não só da ubiquiti, mais sim de um bom firewall, não tenho o profundo conhecimento dos senhores, leio sempre os post para captar aprendizada.

Tenho muitos clientes, e nessa versão o vírus alegado pelo membro @netuai que abriu o tópico ainda não surgiu, mais já vou ficar de olho.

Eu sempre ajudo dentro das limitações do meu conhecimento. Procurando sempre ajudar com clareza e a melhorar maneira da pessoa que pediu ajudar aprender.

Uma vez decidi pedir ajuda aqui em uma área que não faço nem ideia pra onde vai, claro antes de pedir já vinha uns dias estudando sobre o assunto e teve uma pessoa que não me recordo o nome deu uma resposta padrão tipo "estude, pesquise, se não sabe mude de profissão" resumindo não ajudou, sequer disse oque poderia ser, eu só venho no fórum quando não encontro pelo menos uma pista do que possa ser.

Mais voltando ao assunto, até agora eu não tive este problema.

Bom dia e bom feriado a todos.

opa

sim 27k de cliente afinal é 18 anos de ISP
sim sou tenho meu doutorado em ciência da computação porém phd no brasil não tem ainda ai não rola fazer