Buenas,
No sabía que nombre poner al asunto del tema ni tampoco si esta es la mejor sección donde publicarlo, si algún admin entiende que debería modificar algo de esto, sin problemas lo hago. Vamos por faena.
Creo que la red de mi casa, lamentablemente, ha sido invadida. A continuación expongo los hechos en los que me baso con la finalidad de que alguien de este foro pueda ayudarme.
Datos:
ISP >> Movistar
Router >> ASKEY RTF3505VW (Movistar) >> IP Wifi >> 192.168.7.1
BSSID WIFI (2,4 Gz) >> XX:XX:XX:XX:64:77 (las X son para ocultar el número entero)
BSSID WIFI PLUS (5 Ghz) >> XX:XX:XX:XX:64:84 (las X son para ocultar el número entero)
Cifrado WIFI >> WPA2 (TKIP)
Router gestiona asigación de IPs (DHCP) >> 192.168.7.1
Rango de red privada >> 192.168.7.X
Dispongo de este router y conexión de fibra (Movistar) desde hace 5 meses. Nunca había notado nada extraño hasta que cambie la asignación de IPs en la red de casa de manual a automática (dhcp) "leseando" las IPs con las MACs de cada dispositivo para que obtengan siempre la misma IP. El rango de asignación de IPs va desde 192.168.7.200 a 192.168.7.209.
Conectando al router desde la interfaz gráfica, en las opciones de DHCP, observo que hay dos entradas de dispositivos que tienen asignada la IP 192.168.7.210 y curiosamente una de las MAC coincide con el BSSID de WIFI PLUS (XX:XX:XX:XX:64:84). La otra entrada en el DHCP corresponde a la misma IP 192.168.7.210 y el mismo SSID de WIFI PLUS pero un numero menos (XX:XX:XX:XX:64:83). Reviso la sección ARP del router y veo que hay una entrada de la IP 192.168.7.210 con nº de MAC (XX:XX:XX:XX:64:84).
Utilizo nmap para escanear dispositivos locales en la red. Curiosamente, el dispositivo con IP 192.168.7.210 tiene una MAC de origen desconocido. Nmap puede reconocer el fábricante del resto de dispostivos conectados a la LAN.
Esta es la información que me proporciona nmap sobre este dispositivo:
Nmap scan report for 192.168.7.210
Host is up (0.020s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
111/tcp open rpcbind
49152/tcp open unknown
MAC Address: XX:XX:XX:XX:64:84 (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.17 - 2.6.36
Network Distance: 1 hop
Sigo revisando en las opciones del router. Reviso dispositivos conectados a la estación WIFI y no encuentro al equipo "extraño", solo equipos mios. Deduzco que la invasión no se está realizando por parte de alguien que vive geográficamente cerca y que ha conseguido reventar la clave cifrada de mi red WIFI.
La cosa no acaba aqui, en uno de los intentos de acceso a la web de administración del router (192.168.7.1), el navegador me autocompleta y escribe 192.16
9.7.1, aparece una web de RouterOS v6.34.4 donde se me pide introducir credenciales de acceso.
La web indica esto:
You have connected to a router. Administrative access only. If this device is not in your possession, please contact your local network administrator.
WebFig Login:
Login: admin
Password:
Escaneo algunos de los equipos de esa red con nmap, estos son los resultados:
Starting Nmap 6.47 (
http://nmap.org ) at 2016-10-01 20:45 CEST
Nmap scan report for 192.169.7.11
Host is up (0.19s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
22/tcp open ssh
Nmap scan report for box.clearfix.in (192.169.7.10)
Host is up (0.20s latency).
Not shown: 992 filtered ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
443/tcp open https
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
Starting Nmap 6.47 (
http://nmap.org ) at 2016-10-01 20:46 CEST
Nmap scan report for server.tropolic.net (192.169.7.9)
Host is up (0.20s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
Tras cada reinicio del router el dispositivo "extraño" se conecta automáticamente a la red.
Como información adicional, comentar que tengo un DDNS apuntando al router y los puertos que tengo abiertos en el router son:
- 80
- 443
- 7547
- 35993
Una vez envie este mensaje apagaré el router, seguiré el hilo desde la conexión de datos del móvil.
Necesitaría saber si me encuentro ante la intrusión de un PRO (todo apunta que si) y que medidas puedo tomar para protegerme de este ataque.
Por adelantado muchas gracias !!!