¿Cómo podrían los ISP "limpiar su acto" para protegerse contra Mirai?

8

En la publicación del foro en la que se publicó el código fuente de Mirai , el autor escribió

  

Con Mirai, normalmente extraigo un máximo de 380k bots solo de telnet. Sin embargo,   después del Kreb DDoS, los ISP han estado apagando y limpiando lentamente   su acto Hoy en día, la fuerza máxima es de unos 300k bots y está cayendo.

¿A qué medidas podría haberse estado refiriendo cuando habló sobre los ISP para "limpiar su acto"? Tengo entendido que Mirai solo intenta hacer telnet en direcciones IP aleatorias con credenciales predeterminadas. ¿Qué pueden hacer los ISP (y qué hacen realmente) para tratar de evitar ese comportamiento?

    
pregunta Elliot Gorokhovsky 02.12.2016 - 02:05
fuente

1 respuesta

6

Bloqueo de telnet a los enrutadores. Debería ser bloqueado de todos modos como una de las configuraciones de seguridad más básicas (de ahí la frase "limpiando su acto").

Telnet solía ser el método estándar para obtener acceso de shell en computadoras remotas. El único problema era que había cero seguridad en el protocolo. Entonces ssh fue creado para hacer lo mismo, pero usando canales seguros.

SSH es una herramienta tan común y estandarizada ahora que no debería haber ninguna razón para alguna vez necesitar telnet. El hecho de que los enrutadores estén diseñados para responder a las solicitudes de telnet es sorprendente (y preocupante).

Si un dispositivo usa telnet, un ISP puede protegerlo simplemente bloqueando el tráfico hacia él en el puerto telnet estándar: 23.

Dudo que los ISP lo hagan (demasiado intensivo en recursos), pero también se podría inspeccionar el tráfico a los enrutadores para buscar las cadenas de contraseña predeterminadas y bloquear esos paquetes. Es más una técnica para las redes locales que para los ISP, pero es otra ruta de protección.

Lo que hace que este problema sea tan grande para estos enrutadores es que tanto las credenciales como el servicio de telnet están codificados en el firmware. No puedes cambiarlo y no puedes apagarlo. La única forma de protegerse es bloquear el tráfico al dispositivo en el puerto que está configurado para escuchar (puerto 23 de telnet).

    
respondido por el schroeder 02.12.2016 - 08:47
fuente

Lea otras preguntas en las etiquetas