¿INTRUSION EN MI ROUTER?

nastyboy 21 enero 2012 19:22

⋮

Hola

Tengo un router comtrend ct536+ con adsl de timofonica vomistar
El control de acceso que tengo configurado me ha dado ultimamente estos avisos:

Date/Time Facility Severity Message
Jan 1 00:00:19 user crit klogd: eth0 Link UP.
Jan 1 00:00:22 user crit klogd: ADSL G.992 started
Jan 1 00:00:24 user crit klogd: ADSL link down
Jan 1 00:00:53 user crit klogd: ADSL G.992 started
Jan 1 00:00:55 user crit klogd: ADSL link down
Jan 1 00:01:25 user crit klogd: ADSL G.992 started
Jan 1 00:01:27 user crit klogd: ADSL G.992 channel analysis
Jan 1 00:01:32 user crit klogd: ADSL G.992 message exchange
Jan 1 00:01:33 user crit klogd: ADSL link up, interleaved, us=
640, ds=6048
Jan 1 00:02:05 daemon crit pppd[430]: PPP server detected.
Jan 1 00:02:05 daemon crit pppd[430]: PPP session established.
Jan 1 00:02:05 daemon crit pppd[430]: PPP LCP UP.
Jan 1 00:02:06 daemon crit pppd[430]: Received valid IP
address from server.Connection UP.
Jan 21 16:51:23 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=58.218.199.147 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 DF PROTO=TCP SPT=12200 DPT=27977 WINDOW=8192 RES=0x00 SYN URGP=0

Jan 21 18:11:46 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=125.22.0.112 DST=79.154.245.232 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=50184 PROTO=TCP SPT=22102 DPT=222 WINDOW=65535 RES=0x00 SYN URGP=0

Jan 21 19:06:09 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=221.1.220.149 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=256 DF PROTO=TCP SPT=12200 DPT=8085 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 21 19:06:09 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=221.1.220.149 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=256 DF PROTO=TCP SPT=12200 DPT=9415 WINDOW=8192 RES=0x00 SYN URGP=0

He geolocalizado las IPs del 21 de enero, pertenecen a China, India y [b]Sevilla (79.154.245.232).[/b] Fijaros que todas las alertas tienen en común esta IP

Necesito que alguien me ayude a entender lo que leo:

1. klogd: ¿se trata de Telefonica?
2. pppd[430]: ¿se me ha conectado alquien por PPP?
3.- Daemon o user. ¿diferencia?. Creo saber lo que es un daemon en Unix, pero aquí no lo tengo tan claro, a menos que sea algo que hace telefónica.
4. ¿Han logrado meterse en mi router, sólo lo han intentado o qué?

Tengo la seguridad asi:
- router con clave de acceso cambiada por mi, larga y robusta
-baliza oculta
-lista blanca de direcciones MAC inalambricas
-Encriptación shared WEP 128, no puedo ponerle wpa porque estoy haciendo WDS con otro router idéntico (salvo firmware) que me amplia la cobertura
-Tengo abiertos los puertos del acceso remoto (virtual servers y port triggering) de windows y de emule (virtual servers)

¿qué medidas adicionales puedo tomar parqa reforzar la seguridad?

Veo un menú en el router Access Control Services, que me habla de servicios a nivel de LAN y de WAN: FTP, HTTP, ICMP, SNMP, SSH, TELNET, TFTP
Por defecto todos están activados en LAN y todos menos SSH y TFTP en WAN

¿puedo desactivar alguno más y a qué nivel sin que disminuyan prestaciones?

Os ruego que me déis cualquier consejo que se os ocurra para aumentar la seguridad, aparte de cambiar a WPA y cambiar la clave, que son muy obvios.

Gracias por adelantado

vukits 21 enero 2012 19:40

⋮

eso noafecta en nada. nadie se mete en el router..

usa el buscador

nastyboy 21 enero 2012 20:16

⋮

hola

gracias por la respuesta, aunque tan breve que no me entero y te ruego me lo aclares más

¿qué es 'eso' que no afecta?.

¿usar el buscador para buscar qué?

saludos

✖

soulreaver 21 enero 2012 20:26

⋮

que telefonica no se mete en tu router , sino se lo pides tu expresamente, eso si si tienes contratado un hasta pos te cambiaran la velocidad de la linea pero para eso no hace falta meterse en tu router.

txuspe 21 enero 2012 21:04

⋮

¿No te has parado a pensar que la de "Sevilla" puede ser tuya? /mi-ip Deja de preocuparte, nadie ha entrado en tu router.

nastyboy 21 enero 2012 21:24

⋮

pues me has dejado alucinado con esa respuesta, pero según mi router tienes razón. No se si tranquilizarme o temblar mas aun

Hasta ahora la geolocalizacion de todas las IPs que timofonica daba dinamicamente a mi router estaban localizadas en mi ciudad, al otro lado de España, pero supongo que puede dar cualquier dal rango que tiene asignado.

Pero sigo sin entender las otras IPs, de China e India, y que el router me indique intrución con nivel de seguridad 'critico' (uno por debajo del nivel maximo)

✖

BocaDePez 22 enero 2012 11:57

⋮

Te han comentado que buscases respuestas previas, porque es una consulta típica que se repite mucho, y hasta cierto punto aburre repetir lo mismo tantas veces.

Si esos mensajes aparecen ahí, es para que tengas constancia de ello, pero también para indicarte que esos paquetes han sido bloqueados.

Los mensajes aparecen porque no hay ninguna regla de redirección asociada al puerto de destino (DPT = "destination port") ni es una respuesta a una conexión previa que tú hubieses generado desde tu lado hacia esos ordenadores de China, India, etc.

¿Causa del origen? Pues pueden ser ordenadores que corran scripts automatizados que intenten descubrir vulnerabilidades en tu equipo, pero cuando esto es así, lo más normal es ver diversos ataques seguidos desde una misma IP hacia varios puertos conocidos de la tuya (date cuenta que SRC significa "source" y DST significa "destination").

Pero lo más normal es que la IP que acabas de pillar al resincronizar tu ADSL, fuese de alguien que usaba algún programa de P2P (eMule, uTorrent, etc) y los equipos remotos que lo tuviesen en sus colas, van chequeando cada cierto tiempo el estado de la espera. Como ahora es otra persona, y el puerto esperado por ellos no está a la escucha en tu equipo (ya sería mucha casualidad) de ahí los mensajes.