Seguridad Wireless - Wifi

General => Foro libre - Offtopic => Mensaje iniciado por: Powermode en 09-07-2017, 17:53 (Domingo)

Título: Me han clonado la red y la mac, ¿qué puedo hacer?
Publicado por: Powermode en 09-07-2017, 17:53 (Domingo)
Hola buenas tardes a la comunidad. Hace ya algunos años que estoy rondando y trasteando con wifislax, aircrack y demás aplicaciones derivadas a pesar de no haberme registrado hasta hoy, porque quisiera solicitar consejo de los más experimentados en la materia.

Vereis, suelo configurar mi red y las que he tenido, porque como digo vengo haciendo pruebas desde hace tiempo y además uso algunas distribuciones junto con windows normalmente, probando y trasteando como digo, que por cierto lié una para instalar wifislax 64 en el portátil, que ya ni recuerdo cómo lo conseguí justo cuando iba a darlo por perdido, bueno al lío que me enrrollo más que una persiana...

Hace un rato que estaba jugando con el móvil online y de repente he "perdido" la conexión, miro en ajustes -> wifi y lo que me encuentro es que me dice "contraseña incorrecta" y a su vez observo que mi red aparece duplicada en modo "abierto" con menor intensidad, que por curiosidad intento conectar y me sale un aviso "por su seguridad debe introducir la clave WPA bla, bla, bla". El caso es que en cuanto he visto esto automáticamente he pensado en LINSET, y obviamente no he introducido la clave, me he desconectado y he apagado el router comprobando que esa red duplicada seguía activa. Al encender el router he entrado en la configuración y comprobado que no había más que mi pc y mi móvil conectados y he revisado el log de actividad, en lo que he comprobado que durante unos 15 minutos mi red ha estado teniendo micro-cortes e intercambios de datos ACK y denegando autentificaciones, por lo que ya si me quedaban pocas dudas sobre si me estaban intentando hackear la red, ya lo tenía más que claro. Acto seguido he entrado en mi wifislax 64 y he pegado un escaneo, comprobando que la red duplicada "abierta", además tiene la MAC del router clonada, nuevamente en el escaneo he apagado mi router y ahí seguía la red falsa mientras la mía había desaparecido.

El tema es que me preocupa un poco el asunto porque recientemente por aquí ha venido mucho niñato de vacaciones y estoy seguro de que alguno me está intentando hackear, ya que con los métodos convencionales lo tiene bastante difícil (al menos dentro de mis conocimientos). Obviamente el WPS lo tengo desactivado, pero ahora recurro a la comunidad con esta pregunta ¿Qué puedo hacer? El filtrado MAC lo veo una chorrada ya que pueden clonarme igualmente la MAC así que no se, por ahora no me han roto la red pero están en ello. Me gustaría saber qué recomendaciones podeis darme, contad que tengo el wifislax 64 por si hay que trabajar algo fuera del router, ya que en el fondo me gustaría joder a quien esté haciendo esto pero me conformo con mantenerme protegido.

Sin más un cordial saludo y estoy atento a los consejos / opiniones al respecto en este asunto. Gracias.  ;)

PWM
Título: Re: Me han clonado la red y la mac, ¿qué puedo hacer?
Publicado por: vk496 en 09-07-2017, 18:12 (Domingo)
Hi,

Dos opciones se me ocurren:

Cambia el ESSID de la red y ponlo oculto. Otra opción es poner un segundo punto de acceso, en un canal distinto.

Opciones mucho más avanzadas es tener la red desprotegida y aplicar otras medidas de seguridad. Se me ocurre la idea descabellada de tener el servidor DHCP principal sirviendo una subred que descarte todo paquete, mientras que la segunda (por VLAN) vaya protegida por IPSec (por ejemplo).

Salu2
Título: Re: Me han clonado la red y la mac, ¿qué puedo hacer?
Publicado por: drvalium en 09-07-2017, 18:36 (Domingo)
Si no quieres liarte con cosas técnicas, si te vuelve a atacar, cuando te pida la clave, escribe: Se que intentas pincharme la red-no voy a darte mi clave-deja de molestar

Título: Re:
Publicado por: Shyraz en 09-07-2017, 20:15 (Domingo)
Esta última opción drvalium, creo q no valdría, uno escribe su contraseña en el AP falso/clonado y esa pass es contrastada con el handshacke q previamente captura linset, si no coinciden no le devolverá al atacante dicha pass, igual estoy equivocado pero diría q es así.
Lo de poner un nombre en modo advertencia a la red, podría hacerlo con el ESSID q todos pueden ver.
Otra opción sería la del "Cazador cazado", es una herramienta de wifislax, investiga un poco al respecto.

Enviado desde el móvil

Título: Re:
Publicado por: drvalium en 09-07-2017, 21:31 (Domingo)
esa pass es contrastada con el handshacke q previamente captura linset, si no coinciden no le devolverá al atacante dicha pass, igual estoy equivocado pero diría q es así.

hora ya se para que quiere el handshake, llevaba meses preguntándomelo ;D ;D ;D
Título: Re: Me han clonado la red y la mac, ¿qué puedo hacer?
Publicado por: Powermode en 10-07-2017, 01:43 (Lunes)
Hola y gracias por las respuestas. La falsa red de momento ha desaparecido varias horas ya, imagino que se habrán cansado.

Lo del cazador cazado ya lo conocía, de hecho le he pegado un vistazo cuando he pasado el airodump esta tarde, pero creo que para que le aparezca el index.html con el mensaje que le ponga debe conectarse a la red, cosa que no ha pasado. Cuando he trasteado normalmente LINSET y WIFIMOSYS para mi son las opciones para cuando todo lo demás te ha fallado, como último recurso porque como sabéis eso es lanzarlo y esperar que piquen, por lo que aparte de paciencia hace falta suerte. Por cierto el dia que descubrí WIFIMOSYS acabé llorando de la risa, en mi vida pensé que existiría una aplicación (o script) con ese nombre tan cachondo, lo mejor es cuando ves eso de que es la abreviatura de wifi monitoring system jajajaja.

Bueno pues tengo en cuenta un par de apuntes que me llevo hoy, tengo varios routers y en especial un tp-link que he usado muchas veces como repetidor pero dudo que eso me resuelva nada.

Bueno saludos y gracias, si noto algo raro vuelvo a este post a comentaros.
Título: Re: Me han clonado la red y la mac, ¿qué puedo hacer?
Publicado por: Vodker en 10-07-2017, 04:36 (Lunes)
Ocultando la red y cambiando su nombre suele funcionar en la mayoría de ocasiones (en las que el atacante no tiene mucha idea más allá de poner siguiente->siguiente en algún script).
Aún así, si sigue atacando, entra a su falso AP e introduce alguna contraseña del tipo "YoTambienSeUsarWifimosys", porque si tienes la suerte de que el tío ese use el script Wifimosys podrá ver la contraseña errónea (tu mensaje) en su pantalla y con eso bastará para saber que le has pillado.

Saludos.

PD: Por cierto, es WIFI MOron' SYStem (Sistema Wifi para gilipo**as) XDDDDDD
Título: Re: Me han clonado la red y la mac, ¿qué puedo hacer?
Publicado por: Powermode en 10-07-2017, 13:37 (Lunes)
Es verdad, pues lo recordaba como monitoring  >:( >:( >:D
Título: Re: Me han clonado la red y la mac, ¿qué puedo hacer?
Publicado por: Kozaki666 en 11-07-2017, 13:19 (Martes)
[mode_coña=on] Propuesta de essid directamente para esos casos:  "Tu_Linset_Yo_Glock"

Tonterías las justas.  ;D ;D ;D [/mode]
Título: Re: Me han clonado la red y la mac, ¿qué puedo hacer?
Publicado por: Heber WIFI.Arduino Mega en 15-05-2018, 23:02 (Martes)
Hola quetal, bueno espero poder ayudarte, mira en tu caso yo haría lo siguiente: dijiste que usas Wifislax 64 hay tenes unas muchas herramientas útiles para combatir por ejemplo esta el Modo Destrucción de Router de wifilax cuando el este emitiendo su punto de acceso (Access point) le puedes hacer ese ataque o también puedes pasarte a la frecuencia 5ghz del router donde te aseguro que pocos podrán alcanzarte.

Un saludo a todos. bye