Robo de red

tututupro6009 7 abril 2013 20:02

⋮

Hola a todos!

Este es mi primer mensaje aquí, espero explicarme como es debido y si alguno sabe como solucionar mi problema.

Hace más o menos un mes, detecté que el tráfico de la red me iba muy lento(tengo 30Mb) sin estar descargando nada, comprobé el router y vi que tenía un equipo ajeno conectado a mi red (tengo WPA-PSK[TKIP] + WPA2-PSK[AES] con letras, números y símbolos). Copie su MAC, y lo metí en la lista de no permitidos. Cambié las claves de acceso al router y a la red y se acabó, o eso creía yo.

A la semana siguiente, otra vez durante el fin de semana, otra vez ralentización, visita al router y un nuevo equipo conectado; otra vez la misma operación de la semana anterior. Mi sorpresa fué cuando durante el fin de semana siguiente, descubrí que tenía conectado a mi router un equipo con una MAC que estaba en mi lista de no permitidos, es más, intenté ponerlo de nuevo en la lista y me decía que ya estaba y no se podía repetir. Estuve buceando entre diferentes foros, entre ellos este mismo y leí que si el DHCP debe estar desactivado y poner las ips manuales,....

Así que eso hice, configuré tanto los dos equipos como los dos móviles que se conectan a mi red con una ip fija, puse en mi router que tan sólo esos cuatro dispositivos estaban permitidos, y desactive DHCP.

Hasta ahí todo bien, ayer no tuve problemas (utilizo el Wireless Network Watcher para que me avise si hay una conexión), pero esta tarde, al ojear la lista de dispositivos conectados, me he encontrado con que el nombre de uno de los dos equipos, en lugar de su nombre original tenía como etiqueta 'WORKGROUP', como si estuviese utilizando el equipo de trabajo de la red para entrar a través de uno de los equipos. He eliminado el equipo de trabajo, he cambiado el nombre del equipo por defecto y he desactivado la conexión por escritorio remoto por si acaso iban por ahí los tiros. He cambiado de nuevo claves y, durante 10 minutos el equipo tenía el nombre original pero, pasado ese tiempo aparecía en la etiqueta el nombre del equipo de trabajo que yo había modificado.

Ahora, la pregunta que me hago es, ¿¿¿por donde se me están colando??? Si alguien me puede echar una mano en este tema le agradecería enormemente su ayuda. Aunque me parece a mí que la persona que está haciendo esto sabe muy bien lo que hace. De todos modos, gracias de antemano.

Saludos.

BocaDePez 7 abril 2013 21:01

⋮

Los programas que te dicen cuantos equipos hay conectados suelen detectar como dispositivo conectado al router el propio router. Por ejemplo si hay un dispositivo conectado y tú desde ese mismo dispositivo ves a ver quien está conectado te saldrá en la lista tú mismo y a parte otro que suele ser este: 192.168.1.1 que es el mismo router. Si a parte de este te sale otro ya es que hay otro equipo conectado. Lo de los bloqueos no funciona nada bien, yo intenté bloquear un equipo en dos routers distintos uno de Telefónica y otro de Jazztel de la marca Comtrend los dos y era imposible. Lo único que te queda es cambiar el nombre de la red completamente y la contraseña también y poner WPA2-PSK que es el tipo de cifrado más seguro. Si tienes una red denominada WLAN_XXXX o JAZZTEL_XXXX te recomiendo que la cambies y pongas por ejemplo WLAN_XX o JAZZTEL_XX, ya que las redes de 4 número o letras al final son muy fáciles de vulnerar y más las de Movistar (WLAN) que las de Jazztel. Cambia el nombre de la red, por ejemplo, si se llama WLAN_X pues ponle Vodafone, Jazztel o lo que sea o sino un nombre como Policia local o algo así que no se atreverán tanto o guardia civil. Si no consigues nada lo único que te queda es llamar a tu empresa telefónica y decirles que te envíen otro router poniendo la excusa de que se te ha estropeado o desactivar el wifi si no lo estás utilizando y/o apagar el router.

✖

BocaDePez 7 abril 2013 22:47

⋮

Ponerle a la red de nombre «Guardia civil», esa técnica de seguridad mencionada en todos los manuales...

BocaDePez 8 abril 2013 00:23

⋮

El problema es que al haber limitado el número de equipos que se conectan a la red con sus respectivas ip's y mac's, ahora parece que se conecta a través de uno de los equipos, y eso aún me mosquea más porque al conectarse de ese modo no sé si se está conectando a la par que el equipo que suplanta o a través de él (pudiendo acceder a sus archivos). Todo esto lo he podido comprobar porque tengo ejecutándose el chivato y cuando se conecta el nombre de uno de los dispositivos pasa de llamarse con su nombre habitual al nombre del grupo de trabajo que tiene dicho equipo. Lo peor de todo es que dicho grupo lo he eliminado. De ahí que ya no sepa por donde tirar.

En cuanto a lo de cambiar el nombre por uno de los que me indicáis, dudo que alguien que es capaz de hacer esto se pare porque el nombre de la red sea 'policía' o similar.

✖

BocaDePez 8 abril 2013 00:37

⋮

El problema es que tendra tu MAC por lo que cambiar el nombre no servira de mucho, busca en internet el modelo de tu router para comprobar si tiene algun agujero gordo de seguridad, cambia la clave a solo WPA2 (nada de WPA+WPA2) y explayate con simbolos incluidos y la longitud para imposibilitar la fuerza bruta, no ocultes la red, y vete a un rango de ips un poco rarito. Comprueba tambien si el router tiene WPS activado y desactiva como minimo el acceso por el PIN

Por si no sabes mucho de IPs puedes usar este ejemplo

Ej: IP de red -->10.237.42.128 Mascara de subred --> 255.255.255.248 tanto para el router como para los equipos podrias usar las IPs:

10.237.42.129 a 10.237.42.134

✖

tututupro6009 8 abril 2013 01:13

⋮

He cambiado la clave a WPA2 como me has dicho y he desactivado el PIN, en cuanto a lo del WPS, acabo de desactivarlo, parece ser que con reaver y wps activado en mi router da igual la contraseña que le pongas que la averigua rápido. Veremos que tal va. Muchas gracias.

tututupro6009 14 abril 2013 17:03

⋮

Hola de nuevo, parece ser que se utilizaba el reaver para sacar la clave ya que mi router tenía el pin de WPS activado, lo he deshabilitado y he vuelto a modificar todo y parece que el router, sobre todo en fin de semana, no tiene tanto tráfico como antes.

Ahora la duda que tengo es, si se hacía pasar por uno de los equipos conectados, ya que eran los únicos habilitados para acceder al router, ¿cómo puedo monitorizar sus posibles acciones?. Tengo la aplicación WireShark y, aunque todavía estoy desentrañando como sacarle jugo, me pregunto como podré diferenciar las tramas del equipo legítimo y las del clonado, ya que comparten la misma IP.

Como ya comenté me dí cuenta de casualidad, porque el programa chivato(WnetWatcher) que utilizo mostraba el device name como 'WORKGROUP' y no con su nombre legítimo. Ahora, al deshabilitar la vista de la red, el programa chivato ya no me muestra ningún nombre y, por tanto, ya no puedo ver si se me han colado o no.

Agradecería cualquier indicación que me pudiéseis dar al respecto. Gracias por la ayuda.

coratec 29 abril 2013 18:25

⋮

Dos equipos con la misma IP en un mismo rango?

Eso no debería funcionar muy bien.

Has probado a cambiar la IP de tu equipo y hacer ping a la IP compartida? Da respuesta?

Los routers o Access Points a veces guardan MAC en su lista aunque no esten conectados para guardarles su última IP para su conexión. Esto no significa que este conectado, si no que guarda dicha información y hasta que no se resetea el router no es posible borrarlo.

Desde la lógica, si tu cambias la contraseña WPA2 le debería llevar un tiempo largo el volver a conectarse por lo menos. SI además le quitas el DHCP y pones un rango "no habitual" las posibilidades de que alguién se conecte a tu red empiezan a ser cercanas a 0%, siempre que no conozcan ningún dato.

En el caso de que quieras "sniffar" el tráfico necesitas que tu equipo este entre el router y el otro equipo. Lo más facil es utilizar un hub o bien un switch con puerto mirror.

Hay un programa que puedes ver que equipos hay en tu rango " Advanced Ip Scanner" y así identificar a cada uno esto es más facil que sniffar la red.

Espero que te ayude.

Saludos