Autor Tema: ¿intrusion en mi router o en mi red? Necesito asesoramiento.  (Leído 5751 veces)

0 Usuarios y 1 Visitante están viendo este tema.

nastyboy

  • Visitante
Hola

Lo primero, ruego al moderador que si he colocado este hilo en lugar erróneo, me lo cambie, pero no me lo borre.
(A ver si ahora es de su gusto)

Tengo un router comtrend ct536+ con adsl de timofonica vomistar.

A veces, como hoy, noto que la conexion wifi se me cae muy a menudo. Pero voy al router y sigo navegando por el pc que va conectado a él por ethernet, así que no se si solo es la parte wifi de mi router lo que falla o es todo él.
Encima miro el log del router y veo lo que describo.

El control de acceso que tengo configurado me ha dado ultimamente estos avisos:

Date/Time       Facility       Severity    Message
Jan 1 00:00:19       user       crit       klogd: eth0 Link UP.
Jan 1 00:00:22       user       crit       klogd: ADSL G.992 started
Jan 1 00:00:24       user       crit       klogd: ADSL link down
Jan 1 00:00:53       user       crit       klogd: ADSL G.992 started
Jan 1 00:00:55       user       crit       klogd: ADSL link down
Jan 1 00:01:25       user       crit       klogd: ADSL G.992 started
Jan 1 00:01:27       user       crit       klogd: ADSL G.992 channel analysis
Jan 1 00:01:32       user       crit       klogd: ADSL G.992 message
                     exchange
Jan 1 00:01:33       user       crit       klogd: ADSL link up, interleaved, us=
                     640, ds=6048
Jan 1 00:02:05       daemon    crit       pppd[430]: PPP server detected.
Jan 1 00:02:05       daemon    crit       pppd[430]: PPP session established.
Jan 1 00:02:05       daemon    crit       pppd[430]: PPP LCP UP.
Jan 1 00:02:06       daemon    crit       pppd[430]: Received valid IP
                     address from server.Connection UP.
Jan 21 16:51:23    user       alert       klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=58.218.199.147 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 DF PROTO=TCP SPT=12200 DPT=27977 WINDOW=8192 RES=0x00 SYN URGP=0

Jan 21 18:11:46    user    alert          klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=125.22.0.112 DST=79.154.245.232 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=50184 PROTO=TCP SPT=22102 DPT=222 WINDOW=65535 RES=0x00 SYN URGP=0

Jan 21 18:11:46    user       alert       klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=125.22.0.112 DST=79.154.245.232 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=50184 PROTO=TCP SPT=22102 DPT=222 WINDOW=65535 RES=0x00 SYN URGP=0

Jan 21 19:06:09    user       alert       klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=221.1.220.149 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=256 DF PROTO=TCP SPT=12200 DPT=8085 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 21 19:06:09    user    alert          klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=221.1.220.149 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=256 DF PROTO=TCP SPT=12200 DPT=9415 WINDOW=8192 RES=0x00 SYN URGP=0


He geolocalizado las IPs del 21 de enero, pertenecen a China, India y Sevilla. Todas las alertas tienen en común esta IP de Sevilla

El router no me indica conexión wifi/Ethernet  alguna distinta de la mía, ni en la lista de clientes autentificados no en la tabla ARP.


Necesito que alguien me ayude a entender lo que leo:

1. klogd: ¿se trata de telefonica?
2. pppd[430]: ¿se me ha conectado alquien por PPP?
3- Daemon o user. ¿diferencia?. Creo saber lo que es un daemon en Unix, pero aquí no lo tengo tan claro, a menos que sea algo que hace telefónica.
4.Si han logrado meterse en mi router, sólo lo han intentado o qué.

Tengo la seguridad asi:
-router con clave de acceso cambiada por mi, larga y robusta
-baliza oculta
-lista blanca de direcciones MAC inalambricas
-Encriptación shared WEP 128, no puedo ponerle wpa porque estoy haciendo WDS con otro router idéntico (salvo firmware) que me amplia la cobertura
-Tengo abiertos  los puertos del acceso remoto (virtual servers y port triggering) de windows y de emule (virtual servers)
- Ya sé que WEP es una mierda, pero por motivos arquitectónicos y de mucha red de vecinos en un extremo de mi casa no llega a señal, y tuve que poner otro router en WDS, que no acepta WPA.
- El router principal (ADSL) está configurado para que SOLO se conecte a él el router secundario (repetidor con WDS), y los clientes wifi sólo pueden conectarse a este último.

También podría comprarme router nuevo, que soporte incluso WPS, pero seguramente me pasaría igual y necesitaria un repetidor, y volveríamos a lo mismo, no poder usar WPA.

¿qué medidas adicionales puedo tomar parqa reforzar la seguridad?

Veo un menú en el router Access Control Services, que me habla de servicios a nivel de LAN y de WAN: FTP, HTTP, ICMP, SNMP, SSH, TELNET, TFTP
Por defecto todos están activados en LAN y todos menos SSH y TFTP en WAN
 

¿puedo desactivar alguno más y a qué nivel sin que disminuyan prestaciones?
¿qué medidas adicionales puedo tomar parqa reforzar la seguridad?. ¿hay alguna manera de fortalecer esto dejando el WEP?.

Os ruego qu eme déis cualquier consejo que se os ocurra para aumentar la seguridad, aparte de cambiar a WPA y cambiar la clave, que son muy obvios.

Gracias por adelantado



« Última modificación: 21-01-2012, 22:09 (Sábado) por nastyboy »

warcry

  • Visitante
Re: ¿intrusion en mi router o en mired?. Necesito asesoramiento.
« Respuesta #1 en: 21-01-2012, 21:26 (Sábado) »

Tengo la seguridad asi:
-router con clave de acceso cambiada por mi, larga y robusta
-baliza oculta
-lista blanca de direcciones MAC inalambricas
-Encriptación shared WEP 128, no puedo ponerle wpa porque estoy haciendo WDS con otro router idéntico (salvo firmware) que me amplia la cobertura
-Tengo abiertos  los puertos del acceso remoto (virtual servers y port triggering) de windows y de emule (virtual servers)


no se ayudarte a interpretar lo que dices,

pero con las medidas de seguridad que tienes, lo que si que sabría es conectarme a tu router,

tan sencillo como sniffar, ver que mac están asociadas a tu red (lista blanca)

y esperar a que te desconectes tu para conectarme yo con tu mac y acceder al router y configurarlo a mi gusto.

si tienes wep, tienes que pagar tributo.

asi que o lo asumes o cambias a wpa.

un saludo.

PD:se que no es lo que querías oir pero la realidad es muy cruda

nastyboy

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #2 en: 21-01-2012, 21:51 (Sábado) »
Hola
gracias por responder
Unos detalles más

A veces, como hoy, noto que la conexion wifi se me cae muy a menudo. Pero voy al router y sigo navegando por el pc que va conectado a él por ethernet, así que no se si solo es la parte wifi de mi router lo que falla o es todo él.
Encima miro el log del router y veo lo que describo.

YA sé que WEP es una mierda, pero por motivos arquitectónicos y de mucha red de vecinos en un extremo de mi casa no llega a señal, y tuve que poner otro router en WDS, que no acepta WPA.

También podría comprarme router nuevo, que soporte incluso WPS, pero seguramente me pasaría igual y necesitaria un repetidor, y volveríamos a lo mismo, no poder usar WPA.

¿hay alguna manera de fortalecer esto dejando el WEP?.

saludos

warcry

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #3 en: 21-01-2012, 21:57 (Sábado) »

¿hay alguna manera de fortalecer esto dejando el WEP?.


No

yo que haría, seria cambiar a wpa que el comtred si lo soporta, gastarme algo de dinero en un dispositivo que aumente la potencia de tu ap, para que te llegue al otro lado de tu casa, y en el otro extremo otro dispositivo que te de mas potencia para que te llegue al ap.

lo de la caida, puede ser debido a la saturacion del canal que estas empleando, busca con un programa la ocupacion de los canales, y pon el canal menos saturado a tu router.

un saludo.

alist3r

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #4 en: 21-01-2012, 22:08 (Sábado) »
confias en mi si te digo de forma rapida y simple que puedes DESpreocuparte de todo ese rollo?
o quieres el tostón técnico que te tendría que pegar en otro momento? lo digo porque voy mal de tiempo XD

nastyboy

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #5 en: 21-01-2012, 22:11 (Sábado) »
jaja
bueno, lo imprtante es DESpreocuparme

Siempre estoy dispuesto a aprender, así que si to tuvieras otra cosa mejor que hacer....

De todos modos acabo de editar mi msg inicial añadiendole más detalles.


SERASER

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #6 en: 21-01-2012, 22:19 (Sábado) »
Pues lamentablemente vamos a ser pesadisimos, WPA si o si >:D

Dices que tienes otro router en modo WDS, que por ello renuncias a WPA, sin saber cual es el otro router te dire que lo pongas de router principal y pongas el ct536 en modo cliente puente con Open-wrt, todo ello con WPA.

Saludos.

Desconectado drvalium

  • Moderador Global
  • *
  • Mensajes: 17410
  • Misántropo
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #7 en: 21-01-2012, 22:34 (Sábado) »
ver si hay intrusos es tan simple como mirar en el router quien hay o hubo conectado.

En Device info/ARP, puedes ver quien hay conectado en tiempo real, en este caso se ven mi PC principal y el iPhone.

  


En Device Info/DHCP, puedes ver quien hay o hubo conectado, es este caso se ve mi iPhone y un portátil que tuve hace unos días para arreglar.

  

si alguien se conecta lo veras ahí aunque haya borrado los .log del router.

y sobre todo no te olvides de pasarte a WPA, eso que usas ya no se puede llamar proteccion.


un saludo

alist3r

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #8 en: 22-01-2012, 00:22 (Domingo) »
matizo lo de antes: cuando digo que te despreocupes me refiero a los logs del sistema.
para todo lo demas, haz caso al resto de gente que te han dado consejos muy buenos.

ahi va el rollo básico del log de tu router:

campo: date
valores: fecha
explicación: self-explanatory :)

campo: facility
valores: user | daemon
explicación: espacio desde el que se genera el evento. puede ser user cuando es un proceso ejecutado por el usuario, o daemon cuando se trata de un demonio del sistema.

campo: severity
valores: crit | alert | warn | log
explicación: self-explanatory (aunque hay mucho que discutir sobre si algunos de esos eventos son "críticos" o no, pero bueno eso es lo de menos).

campo: message
valor: proceso que genera el mensaje[process id del proceso]: mensaje
explicación: la sustancia está aqui. la mayoria de mensajes son generados por los diferentes procesos que le van pasando avisos al KLOGD, que no es otra cosa que el kernel log daemon, un demonio presente en todos los sistemas linux que proporciona una plataforma estándar para el registro y consulta de eventos de sistema. Normalmente la mayoria de procesos que tengan algo importante que registrar, se lo pasan a KLOGD y este lo almacena y clasifica en un lugar centralizado.
Pero esto son puros formalismos, lo importante en sí es el contenido del mensaje.

veamos algunos de tu router:

klogd: eth0 Link UP. --> se conecta o se detecta una máquina conectada al router a través de, probablemente, la primera roseta ethernet del mismo
ADSL G.992 started --> adsl operativo
ADSL link down --> corte de adsl
ADSL G.992 channel analysis --> no me dice nada, creo que es una solicitud de diagnóstico de linea, pero no lo sé.

PPP server detected.
PPP session established.
PPP LCP UP.
Received valid IP address from server.Connection UP. --> todo es bloque es la negociación normal del router, despues de conseguir conectividad ADSL, para obtener conexión con el exterior mediante el protocolo Peer to Peer (PPP). De esto se encarga el demonio ppp, que se llama PPPD (y sobre el que tenias un lio mental xD)

Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=58.218.199.147 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 DF PROTO=TCP SPT=12200 DPT=27977 WINDOW=8192 RES=0x00 SYN URGP=0 --> el susto que te ha dao eh? xDD
esto son intentos de conexion a tu puerto 27977 desde las ip's que atestiguamos.
consulto en las bases de datos pero no veo softwares o servicios conocidos asociados a este puerto.  Me suena un monton, pero ahora no caigo de qué...

el 222 sí, sin duda alguna es un intento de acceso a través del remote shell daemon de berkeley, cosa que tu router no usa, seguro. Ese servicio está solo en los FreeBSDs (que alguien me corrija si mi mala cabeza falla)

el intento de cconexión al puerto 8085 es un intento de entrar en el "servicio wiki" del mac os X server o bien un untento de conexion al software "inspeak communicador".

y el 9415 es probablemente un escanner de proxies automático haciendo su trabajo de rastreo y deteccion de servidores proxy para incorporarlos en bases de datos de proxies

pero la cuestion es que cada una de esas lineas indica un intento de conexion que ha sido bloqueado con éxito. ya pueden matarse lo que quieran, desde ahi fuera, que no van a rascar ná de ná.
« Última modificación: 22-01-2012, 01:01 (Domingo) por alist3r »

Manbostar

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #9 en: 22-01-2012, 10:56 (Domingo) »
Buenas

Citar
el 222 sí, sin duda alguna es un intento de acceso a través del remote shell daemon de berkeley, cosa que tu router no usa, seguro. Ese servicio está solo en los FreeBSDs (que alguien me corrija si mi mala cabeza falla)

Correcto, no obstante puede ser una búsqueda de un par de troyanitos en modo RAT que viven en el TCP 221 y TCP 222.

Saludos

nastyboy

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #10 en: 22-01-2012, 17:28 (Domingo) »
Pues lamentablemente vamos a ser pesadisimos, WPA si o si >:D

Dices que tienes otro router en modo WDS, que por ello renuncias a WPA, sin saber cual es el otro router te dire que lo pongas de router principal y pongas el ct536 en modo cliente puente con Open-wrt, todo ello con WPA.

Saludos.

Ambos son ct536+
Antes tenía un 3com y nno podía poner ni wep

Mis CT 536 NO soportan WPA en modo WDS, y tampoco open-wrt.
:-(


 

« Última modificación: 22-01-2012, 17:29 (Domingo) por nastyboy »

nastyboy

  • Visitante
Re: ¿intrusion en mi router o en mi red? Necesito asesoramiento.
« Respuesta #11 en: 22-01-2012, 17:32 (Domingo) »
ver si hay intrusos es tan simple como mirar en el router quien hay o hubo conectado.

En Device info/ARP, puedes ver quien hay conectado en tiempo real, en este caso se ven mi PC principal y el iPhone.

  


En Device Info/DHCP, puedes ver quien hay o hubo conectado, es este caso se ve mi iPhone y un portátil que tuve hace unos días para arreglar.

  

si alguien se conecta lo veras ahí aunque haya borrado los .log del router.

y sobre todo no te olvides de pasarte a WPA, eso que usas ya no se puede llamar proteccion.


un saludo

Gracias

Las entradas ARP nunca me han informado de intrusiones, en Wifi, station info tampoco.
Tengo DHCP desactivado y mis máquinas con IPs fijas, con el resto de las IPs del rango disponible inhabilitadas.