Seguridad Wireless - Wifi

Equipos y materiales => Puntos de acceso, routers, switchs y bridges => Mensaje iniciado por: dogpow en 01-10-2016, 20:47 (Sábado)

Título: Instrusión en red privada
Publicado por: dogpow en 01-10-2016, 20:47 (Sábado)
Buenas,

No sabía que nombre poner al asunto del tema ni tampoco si esta es la mejor sección donde publicarlo, si algún admin  entiende que debería modificar algo de esto, sin problemas lo hago. Vamos por faena.

Creo que la red de mi casa, lamentablemente, ha sido invadida. A continuación expongo los hechos en los que me baso con la finalidad de que alguien de este foro pueda ayudarme.

Datos:

ISP >> Movistar
Router >> ASKEY RTF3505VW (Movistar) >> IP Wifi >> 192.168.7.1
BSSID WIFI (2,4 Gz) >> XX:XX:XX:XX:64:77 (las X son para ocultar el número entero)
BSSID WIFI PLUS (5 Ghz) >> XX:XX:XX:XX:64:84 (las X son para ocultar el número entero)
Cifrado WIFI >> WPA2 (TKIP)
Router gestiona asigación de IPs (DHCP) >> 192.168.7.1
Rango de red privada >> 192.168.7.X

Dispongo de este router y conexión de fibra (Movistar) desde hace 5 meses. Nunca había notado nada extraño hasta que cambie la asignación de IPs en la red de casa de manual a automática (dhcp) "leseando" las IPs con las MACs de cada dispositivo para que obtengan siempre la misma IP. El rango de asignación de IPs va desde 192.168.7.200 a 192.168.7.209.

Conectando al router desde la interfaz gráfica, en las opciones de DHCP, observo que hay dos entradas de dispositivos que tienen asignada la IP 192.168.7.210 y curiosamente una de las MAC coincide con el BSSID de WIFI PLUS (XX:XX:XX:XX:64:84). La otra entrada en el DHCP corresponde a la misma IP 192.168.7.210 y el mismo SSID de WIFI PLUS pero un numero menos (XX:XX:XX:XX:64:83). Reviso la sección ARP del router y veo que hay una entrada de la IP 192.168.7.210 con nº de MAC (XX:XX:XX:XX:64:84).

Utilizo nmap para escanear dispositivos locales en la red. Curiosamente, el dispositivo con IP 192.168.7.210 tiene una MAC de origen desconocido. Nmap puede reconocer el fábricante del resto de dispostivos conectados a la LAN.

Esta es la información que me proporciona nmap sobre este dispositivo:

Nmap scan report for 192.168.7.210
Host is up (0.020s latency).
Not shown: 998 closed ports
PORT      STATE SERVICE
111/tcp   open  rpcbind
49152/tcp open  unknown
MAC Address: XX:XX:XX:XX:64:84 (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.17 - 2.6.36
Network Distance: 1 hop

Sigo revisando en las opciones del router. Reviso dispositivos conectados a la estación WIFI y no encuentro al equipo "extraño", solo equipos mios. Deduzco que la invasión no se está realizando por parte de alguien que vive geográficamente cerca y que ha conseguido reventar la clave cifrada de mi red WIFI.

La cosa no acaba aqui, en uno de los intentos de acceso a la web de administración del router (192.168.7.1), el navegador me autocompleta y escribe 192.169.7.1, aparece una web de RouterOS v6.34.4 donde se me pide introducir credenciales de acceso.

La web indica esto:

You have connected to a router. Administrative access only. If this device is not in your possession, please contact your local network administrator.

WebFig Login:

Login: admin
Password:    

Escaneo algunos de los equipos de esa red con nmap, estos son los resultados:

Starting Nmap 6.47 ( http://nmap.org ) at 2016-10-01 20:45 CEST
Nmap scan report for 192.169.7.11
Host is up (0.19s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh


Nmap scan report for box.clearfix.in (192.169.7.10)
Host is up (0.20s latency).
Not shown: 992 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
53/tcp  open  domain
80/tcp  open  http
443/tcp open  https
587/tcp open  submission
993/tcp open  imaps
995/tcp open  pop3s


Starting Nmap 6.47 ( http://nmap.org ) at 2016-10-01 20:46 CEST
Nmap scan report for server.tropolic.net (192.169.7.9)
Host is up (0.20s latency).
Not shown: 998 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http


Tras cada reinicio del router el dispositivo "extraño" se conecta automáticamente a la red.

Como información adicional, comentar que tengo un DDNS apuntando al router y los puertos que tengo abiertos en el router son:

- 80
- 443
- 7547
- 35993

Una vez envie este mensaje apagaré el router, seguiré el hilo desde la conexión de datos del móvil.

Necesitaría saber si me encuentro ante la intrusión de un PRO (todo apunta que si) y que medidas puedo tomar para protegerme de este ataque.

Por adelantado muchas gracias !!!
Título: Re: Instrusión en red privada
Publicado por: Torpedo en 01-10-2016, 21:28 (Sábado)


No creo que la asignación de ips tenga nada que ver.

¿Tienes la contraseña wifi establecida por defecto? ¿¿wps habilitado?

Citar
Deduzco que la invasión no se está realizando por parte de alguien que vive geográficamente cerca y que ha conseguido reventar la clave cifrada de mi red WIFI.

Das un exceso de datos que nos sirven de bien poco . Omites algunos que serian de mas interes . El entorno en el que vives es importante . Si vives en un núcleo urbano la intrusión (si fuese tal , que tengo mis dudas) vendría de un sitio cercano , ya que si estas rodeado de edificios es bastante difícil que alguien se conecte desde distancias considerables a no ser que este en un lugar mucho mas elevado del que tu te encuentras .....

RouterOS = a dispositivo mikrotic

Si vas en plan investigador , adelante.

Si optas por ser práctico y no te quieres comer la cabeza la solución es simple y la conoces

Cambia la contraseña por otra mucho mas fuerte y deshabilita wps.

Un saludo

Título: Re: Instrusión en red privada
Publicado por: dogpow en 01-10-2016, 22:02 (Sábado)
Gracias por el interés y la rápida respuesta @orion999

Aumento la información proporcionada en el primer post.

- Vivo en zona urbana, se podria considerar que es un enjambre ya que mi piso esta rodeado de muchos edificios.

- El WPS esta desactivado.

- La clave WIFI desde el minuto 0 fue modificada y es alfanumerica con carateres especiales y bastante larga (+20 caracteres).

- He cambiado la password de la red WIFI, reinicio el router y el "extraño" sigue estando ahí. Unicamente hay conectado a la red 1 dispositovo mio y el "extraño".

Esto se escapa a mi comprensión. ¿Como puedo estar en 2 redes? La mia 192.168.7.1 y la "extraña" 192.169.7.1

Vuelvo a apagar el router a la espera de que alguien me pueda seguir orientando.

Gracias y un saludo!
Título: Re: Instrusión en red privada
Publicado por: lego_regan en 01-10-2016, 22:36 (Sábado)
Yo probaría a correr airmon-ng y luego wireshark poniendo como filtro la mac del supuesto intruso y me cercionaria de que realmente existiese ese dispositivo. Si veo la Mac trataría de buscarla con algún tipo de antena orientable y un pc portátil. También usaría las herramientas que proporciona wifislax y comprobará la seguridad de la Red. Y tambien haría un escaneo de puertos a mi ip pública usando el 3g del móvil o la conexión de algún amigo.

A lo mejor son solo dispositivos de esos que se conectan a tu router para configurarlo por técnicos de movistar pero nose yo intentaria analizar la seguridad de la conexión y mirar si hay algún dispositivo usando esa Mac por la zona.


Saludos
Título: Re: Instrusión en red privada
Publicado por: Torpedo en 01-10-2016, 22:59 (Sábado)


Citar
Vuelvo a apagar el router a la espera de que alguien me pueda seguir orientando.

No lo hagas y estate tranquilo.

Si has cambiado la clave por otra mucha mas fuerte como dices y tienes wps desactivado

ni por fuerza bruta le habría dado tiempo a sacar la contraseña.

Lo único que me extraña u poco es el dato de routerOS ¿no seras tu el dueño de algun dispositivo mikrokiK ?   8)

Utilizar filtrado mac no sirve absolutamente para nada .  8) .

Si utizas wifislax y no quieres complicarte mucho la vida con programas mas complicados

corrriendo el airodump-ng en consola puedes observar las macs clientes de tu ap y las datas que mueve cada uno.

Título: Re: Instrusión en red privada
Publicado por: javiercalavera en 02-10-2016, 19:39 (Domingo)
Hola a todos.

Lo más habitual en tu caso es que el equipo fantasma sea tuyo.

Al auditar mi red al principio me aparecía un dispositivo extraño que resulta que era el decodificador del imagenio.

Mi consejo es que desconectes todos los dispositivos del router (TODOS), al tenerlo separado de internet no tendrás que preocuparte de dispositivos externos.

Desconecta la señal wifi y conéctate por cable. Si aparece el otro dispositivo, es un dispositivo virtual que crea el propio router. Comprueba la configuración por si alguien lo ha añadido o cambiado.

Si no aparece, ve conectando dispositivos hasta que aparezca y ya sabes por donde se conecta.

Lo último que debes de hacer es conectar el wifi.

Espero que te sirva de ayuda.

Un saludo. 
Título: Re: Instrusión en red privada
Publicado por: dogpow en 02-10-2016, 20:55 (Domingo)
Efectivamente !! Seguramente se trate de algún dispositivo virtual que incorora el router del estilo imagenio como bien dices. Mañana llamaré a Movistar para confirmarlo.

Y lo de las 2 redes... que provocó que se me cruzaran los cables...  pensaba que el rango de IPs 192.16X.X.X solo podía ser privado pero resulta que NO. El rango de IPs 192.169.X.X es público.

Caso cerrado. Muchas gracias a todos los que han participado en el hilo !!!