Detectando intrusos na rede wifi
Atopei un bo artigo no blog "UsemosLinux" no que explican como a través de "nmap" podemos detectar intrusos na nosa rede wifi.
http://usemoslinux.blogspot.com/2011/09/como-detectar-intrusos-en-tu-red-wifi.html
Quería colocalo no foro por dous motivos, o primeiro para expoñerllo á comunidade é o segundo é porque preciso axuda.
Veredes, tras facer os resultados obtiven o seguinte:
Starting Nmap 5.21 ( http://nmap.org ) at 2011-09-08 16:09 CEST
Nmap scan report for xxx.xxx.x.x
Host is up (0.0020s latency).
MAC Address: yy:yy:yy:yy:yy:yy (XAVi Technologies)
Nmap scan report for yy.yy.yy.yy
Host is up (0.0062s latency).
MAC Address: xx:xx:xx:xx:xx:xx (Unknown)
Nmap scan report for fulanito-ordenador-modelo (xxx.xxx.x.xx)
Host is up.
Nmap done: 256 IP addresses (3 hosts up) scanned in 5.37 seconds
Aquelas IP's que e a MAC que tapei con "xx" son [segundo creo], a miña e a do router, e aquela que [por se acaso] tapei con "yy" é a descoñecida. O que máis me intriga é o de "XAVi Technologies", e unha curiosidade, e é que a súa IP é o mesmo número ca min pero dous números menos, por exemplo, se a miña IP fose "XXX.XXX.X.98", a súa é "YYY.YYY.Y.96"
O meu pai conéctase mediante o ethernet, e agora mesmo ten o ordenador apagado, ademáis, esta rede apareceu intermitentemente ao facer nmap, é dicir, non está sempre conectado.
Por curiosidade, fixénlle un "ssh yyy.yyy.y.yy" pero obtiven un erro de autenticación ou algo así polo porto 22 ou 24, xa non me lembro.
As miñas preguntas son: De ser ese un intruso, teño algún xeito de denegarlle o acceso ao router sabendo esa IP? E Como?
E ao facerlle o "ssh" a esa IP, comprometín dalgún modo a miña seguridade? E como podo evitar que el faga o mesmo?
Moitas grazas pola vosa antención.
Hola espero que entiendas ya que no hablo portugues pero puedes utilizar google translator para traducir a tu idoma si deseas. Espero haberte entendido corretamente.
1) Para realizar un correcto escaneo de la red utilizando nmap,
es conveniente realizarlo como superusuario #(root)
2) Veo que estás un poco confundido con la lectura de nmap
y por eso te genera algunas dudas.
3) Los resultados de nmap se interpretan de esta manera:
Starting Nmap 5.21.......--> Inicio de nmap/hora/ubicacion
------------------------------------------------------------------------------------------------------------
Nmap scan report for xxx.xxx.x.x -->Reporte para primera dirección IP(router)
Host is up (0.0020s latency). -->Host encendido (tiempo de latencia)
MAC Address: yy:yy:yy:yy:yy:yy (XAVi Technologies) -->Direccion MAC de tu router
"(XAVi Technologies)"-->(Fabricante de tu router)
-------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
Nmap scan report for yy.yy.yy.yy -->Reporte para segunda máquina encontrada
Host is up (0.0062s latency). -->Host encendido (tiempo de latencia)
MAC Address: xx:xx:xx:xx:xx:xx (Unknown) -->Direccion MAC del host (Unknown)
"(Unknown)"-->(Fabricante desconocido)
----------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
Nmap scan report for fulanito-ordenador-modelo (xxx.xxx.x.xx) -->(Esta es tu maquina (PC))
Host is up. -->Host Encendido
Nmap done: 256 IP addresses (3 hosts up) scanned in 5.37 seconds -->Fin de nmap
---------------------------------------------------------------------------------------------------
scan report for xxx.xxx.x.x = Reporte de scaneo de la IP xxx.xxx.x.x
Host is up = Ordenador / Maquina encendida
MAC = Direccion MAC
4) Con respecto a:
O que máis me intriga é o de "XAVi Technologies",
e unha curiosidade, e é que a súa IP é o mesmo número ca min pero dous números menos,
por exemplo, se a miña IP fose "XXX.XXX.X.98", a súa é "YYY.YYY.Y.96"
Esto está correcto. La configuracion del router asigna automaticamente
una nueva direccion IP a la maquina que se conecta, entonces si alguien ya
se conectó antes que tu, al momento que conectes tu PC se te asignara una
nueva direccion IP que no haya sido ocupada y por eso varía en 1 o 2 cifras.
Ejemplo:
YYY.YYY.Y.96--> IP de router
XXX.XXX.X.98--> Ip de tu PC
Pero la direccion IP de tu router siempre va ha ser YYY.YYY.Y.96, a menos
de que la cambies en la configuración.
5) Con respecto a:
As miñas preguntas son: De ser ese un intruso, teño algún xeito
de denegarlle o acceso ao router sabendo esa IP? E Como?
--Si estas preocupado por la seguridad y el acceso a tu red, puedes configurarlo
todo ingresando al router, usando el comando telnet. Pero es recomendable
utilizar la interfaz gráfica(Hasta aprender bien la configuracion del router), ingresando mediante el navegador web.
Ejemplo:
Escribir en la barra de direcciones URL
http://XXX.XXX.X.X -->(Direccion IP del router)
--Por lo general los routers no configurados tienen como acceso:
usuario:admin
passsword:admin
Pero segun el modelo del touter varía, puedes buscar mas informacion en la web.
--En la configuracion del router existe una parte aceptar solo direcciones MAC
que son de confianza o que queremos que se conecten.
E ao facerlle o "ssh" a esa IP, comprometín dalgún modo a miña seguridade?
--Supongo que no, debido a que te dió un error, y creo que es porque no está
configurado tu rotuer para cceder mediante el puerto 22, mediante ssh.
E como podo evitar que el faga o mesmo?
--Puedes instalar un Firewall en tu maquina, para detectar escaneos nmap
--Puedes cambiar passwords y contraseñas, tanto de acceso al router, como de
acceso Wifi(en caso de que tengas habilitado el acceso Wifi)
--Lee los logs del router.
--En general es configuracion del router.
Espero que te sirva de ayuda, y que puedas resolver tus dudas.
De igual manera gracias por leer, hasta pronto y happy hacking ; )!!
Muchas gracias por la ayuda en lo que respecta al apartado técnico. Pero debo indicarte que mi idioma, aunque hermano del portugués [igual que el castellano, el catalán, el italiano el francés etc...] es el gallego, propio de la Comunidad Autónoma de Galicia (administrativamente ubicada en España), de donde es originaria esta distribución. Es facil que la gente que no conoce la existencia de mi idioma lo confunda con el portugués, no pasa nada =) pero muchas gracias por hacer el esfuerzo e intentar comprender mi lengua.
Y repito, muchas gracias por el apartado técnico. La verdad es que me preocupa bastante mi seguridad, y todo lo relacionado con ella. Soy un poco paranoico con la misma jeje.
Mmmm bueno pues me alegro mucho..y tambien muchas gracias por la aclaración de tu idioma pido disculpas por el error. Y mira yo tambien aprendí algo nuevo.. : )!!
A mi tambien me preocupa la seguridad y pues me alegra que tambien te guste, ya que se aprende bastantes cosas, y lo bueno es compartirlo con los demás..como algo extra con respecto a nmap puedes buscar en su página http://nmap.org o en el manual (tecleas en una terminal )--> man nmap; y ahi puedes leer todo lo referente con tipos de scaneos y cosas por el estilo que sirven para comprobar la seguridad de un equipo.
Gracias de nuevo por la aclaración hasta pronto..y happy hacking : )!!
Por cierto, el hecho de que tengan acceso a mi router no significa que tengan puedan acceder a mi PC, o esto le facilitaría al presunto intruso de algún modo las cosas? Necesitaría algo más que las ips y MACs que ahí aparecen, no?
En efecto necesitaría mucho mas que una dirección IP. Si algún "intruso" tiene el acceso a tu router, lo que puede hacer es desconfigurarlo y hacer que funcione incorrectamente, pero como tu tienes el acceso físico al router entonces podrías reiniciarlo y cambiar el acceso por una contraseña mas "dura", y asi lograrías solventar el problema.
Ademas recordar que el router funciona como un cortafuegos, asi que para "lograr algo" o lograr crackearlo se necesita bastantes conocimientos y de ingenieria inversa.
Puede que exista una posibilidad pero si se toman medidas preventivas, lograrás controlarlo.
Recuerda que gracias a la ayuda de GNU/Linux se pueden lograr varias cosas, entre ellas si tienes por ahi un CPU o maquina antigua le puedes instalar una distro/firewall que te servirá como doble firewall, para aumentar la seguridad, y utilizarlo cuando te conectes a internet.
computador-->firewall(minidistribución)-->router-->isp-->internet
Aunque estos métodos son mas utilizados en empresas para control de tráfico, análisis de archivos, servidores de correo, etc..
En tu caso si te interesa bastante la seguridad y quieres aprender mas, te puedes instalar el Whireshark, que es para controlar(analizar) el tráfico que circula. Con unos cuantos manuales vendría bien..
Esto como algo introducctorio porque de ahí existen diversas aplicaciones libres para la seguridad de la red.
hasta pronto..y happy hacking : )!!