Устранение уязвимости ZyNOS
В феврале 2014 года международными агентствами по информационной безопасности была выявлена серьёзная уязвимость ZyNOS — операционной системы, используемой в качестве прошивки для 90% CPE-устройств, установленных у абонентов ОАО «Кыргызтелеком» (ADSL-модемов и Ethernet-роутеров). В мае 2014 года эксплуатация выявленной уязвимости достигла сетей операторов связи Кыргызской республики — специалистами СБ было установлено, что не менее 8 тыс. абонентских устройств могли быть скомпрометированы. Целью злоумышленников является подстановка своих DNS-серверов, вместо рекомендуемых ОАО «Кыргызтелеком», но при этом также сбиваются другие настройки (DHCP, Ethernet), что ведёт к невозможности оказания услуг доступа к Интернет и IPTV.
С целью недопущения угроз по утечке трафика, прерывания услуг связи и общей сетевой безопасности на центральных узлах компании были введены превентивные ограничения на доступ к управлению абонентскими устройствами из внешних сетей. Таким образом, удалённый доступ к абонентским модемам по портам TCP/21 (FTP), TCP/22 (SSH), TCP/23 (Telnet) и TCP/80 (Web) в настоящее время возможен только из управляющей сети ОАО «Кыргызтелеком» для специалистов службы технической поддержки.
Угрозе подвержены практически все модели устройств — TP-Link, D-Link, ZTE, Tenda и другие.
Конечная цель перенастройки модема — полностью исключить доступ к устройству абсолютно для всех, кроме управляющей сети ОАО “Кыргызтелеком” и домашней сети абонента.
Поэтому недостаточно просто включить галочку «ACL», — списки контроля доступа должны быть должным образом настроены!
Порядок настройки модемов, — вначале нужно прописать локальную абонентскую сеть, а потом управляющую:
— включить ACL
— добавить индекс/номер “1” и вначале указать абонентскую сеть, доступ со стороны LAN и все протоколы (ALL) — 192.168.0.1-192.168.0.254 или 192.168.1.1-192.168.1.254
— добавить индекс/номер “2” и затем указать управляющую сеть ОАО “Кыргызтелеком”, доступ со стороны WAN и по протоколу (WEB) — 213.145.128.1-213.145.128.254
— добавить индекс/номер “3” и указать все остальные сети, доступ со стороны WAN, протокол — только PING — 0.0.0.0-0.0.0.0
Если порядок настройки ACL будет перепутан, то доступ к модему будет потерян.
К сожалению, некоторые модели модемов не обладают необходимым функционалом и не позволяют производить настройку ACL. Есть несколько способов решения этой проблемы:
— обновить прошивку до последней версии (найти в интернете под конкретную модель, скачать и установить через WEB) — функционал ACL должен появиться.
— настроить Firewall на модеме: полностью отключить доступ к управлению по WEB, Telnet и SSH со стороны WAN.
— если прошивку обновить не удалось и функционал Firewall не поддерживается, то необходимо вручную настроить компьютер и IPTV STB абонента, прописав статичные адреса — это не решает проблему, но позволит сохранить доступ к Интернет и IPTV.
Пошаговые настройки на самые популярные модели модемов опубликованы http://support.ktnet.kg/pppoe/