Es posible que en alguna ocasión hayamos tenido la sospecha de que hay un intruso en nuestra red, pero no hemos sabido cómo comprobarlo fácilmente. En este tutorial aprenderemos a buscar entre los registros del router cualquier prueba que nos confirme un acceso ilegítimo a nuestra red. De esta manera evitaremos cambiar la contraseña, y por consiguiente, tener que configurar todos los dispositivos de nuestra red sin tener alguna prueba
Antes de comenzar debemos hacer unas aclaraciones previas. Este tutorial está orientado a principiantes, por lo que usuarios más experimentados conocerán ya el contenido del mismo. Por otro lado, la gran cantidad de routers disponibles en el mercado hace imposible describir detalladamente el procedimiento en todos y cada uno de ellos, por este motivo, los pasos explicados en este tutorial no serán válidos para todos, aun así podéis tomaros este tutorial como una referencia y buscar los diferentes apartados en vuestro router.
Como ejemplo, veremos cómo acceder a los registros del router Comtrend VR-3025UN. Explicaremos cómo ver la tabla ARP del router, las direcciones asignadas por el servidor DHCP y ver los clientes conectados al router. De esta manera, si un intruso estuviese conectado a nuestra red aparecería en al menos uno de estos registros.
Acceder al router VR-3025UN
Como cada vez que necesitamos comprobar algún dato o configurar el router, necesitamos acceder a su interfaz web (aunque hay varias formas, no necesariamente web). Lo primero es introducir la dirección IP del router en nuestro navegador favorito. Generalmente el router recibe la dirección 192.168.1.1, aunque también puede tener la 192.168.0.1.
-
http://192.168.1.1
Nos pedirá iniciar sesión con un usuario y contraseña, en nuestro caso son:
Usuario: admin
Contraseña: admin
En caso de no ser esos, podemos probar con los siguientes pares usuario/contraseña: admin/1234, 1234/1234, 1234/(en blanco). Una vez hayamos iniciado sesión llegaremos a una página similar a esta:
Tabla ARP
Sin entrar en detalle, para poder pasar directamente al grano, diremos que para que dos máquinas se puedan comunicar, deben saber primero qué dirección física (MAC) tienen. El protocolo ARP (Address Resolution Protocol) permite precisamente eso. Básicamente consiste en preguntar en todas las subredes disponibles con el fin de que el dispositivo con el que queremos comunicarnos lo reciba y responda facilitando al emisor su dirección.
Para no tener que estar preguntando constantemente, las direcciones se guardan en la llamada “tabla ARP”, de modo que en dicha tabla deben aparecer todos los dispositivos conectados a la red, ya que todos en algún momento habrán tenido que comunicarse con el router. De modo que si encontramos más dispositivos en la tabla de los que tenemos, o alguno que no coincide con los nuestros es que alguien ha accedido a nuestra red.
La tabla la encontramos en: Device Info -> ARP
Tabla DHCP
En xataka ON ya hemos hablado detenidamente sobre el protocolo DHCP, por lo que ya es de sobra conocido por nosotros. Así que iremos directamente a la parte que nos incumbe, la tabla con las direcciones IP asignadas por el router.
Cada dirección IP asignada por el router tiene un período de validez de una semana (este tiempo puede ser modificado), aunque el router las almacena algún tiempo después de expirar. Si un intruso entró en nuestra red y obtuvo una dirección IP durante la semana (recordemos que este tiempo puede ser modificado), aparecerá en la lista. ¿Cuál es el problema? Si el atacante configuró su IP manualmente, no aparecerá en la lista.
Un parámetro que nos ayudará a detectar intrusos es el nombre del dispositivo, el cual se almacena junto a la dirección que le fue asignada, por lo que no tendremos que recordar la dirección MAC de todos los dispositivos, aunque a veces es posible que dicho nombre aparezca en blanco, generalmente esto se debe a que el nombre del dispositivo es demasiado largo.
La tabla con las direcciones IP se encuentra en : Device Info -> DHCP
Clientes conectados
En esta ocasión comprobaremos la tabla que muestra los dispositivos conectados al router en este preciso instante. En esta tabla no se nos informa de la dirección IP asignada a cada cliente, por lo que tendremos que conocer las Direcciones MAC de cada dispositivo. Otra opción es compararlas con las direcciones MAC que contiene la tabla DHCP, de modo que sabremos rápidamente a que dispositivo corresponde ya que dicha tabla sí muestra los nombres de cada dispositivo.
La tabla la podemos encontrar en: Wireless -> Station Info
Como dato de interés, podemos apreciar en las capturas que en nuestra red hay un equipo conectado con la dirección IP 192.168.1.10. Dicho equipo tiene una IP estática (configurada manualmente) ya que no aparece en la tabla DHCP y está conectado por cable ya que tampoco aparece en la lista de clientes conectados.
Otro factor a tener en cuenta es que estas tablas se pierden con cada reinicio del router, de modo que si el atacante accede al router y lo reinicia podrá borrar sus huellas. Por este motivo es importante cambiar la contraseña de administrador del router, de este modo siempre quedará algún rastro.
En Xataka On | Protege tu conexión WiFi de una intrusión de algún vecino o cualquiera que pase por allí | Cómo configurar nuestra red WiFi y no morir en el intento (III): Averiguar la dirección MAC
Comentarios
Evidentemente, si tienes activado el filtrado por MAC en tu router esto no sirve para nada, ya que si se te cuelan sera suplantando una de tus MAC's. ¿Como podrías detectar esto?
Excelente pregunta!
Yo creo que el medio más seguro es el de siempre, desactivar el Wifi y enchufarse por cable, muerto el perro se acabo la rabia XD
-- editado por última vez a las 09:39
Si xo resulta que mi móvil no tiene entrada para ethernet, que pona no tener el ultimo iPhone 1S de 512 mb :)
Pues ya es tener muy mala suerte de que te toque un vecino que sepa usar tu wifi de esa forma >,
Muy buena pregunta, hay varias posibilidades:
Primera: Intruso con DHCP activado. Quedará registrado el nombre de su equipo en la tabla DHCP y no coincidirá con el del equipo legítimo, es decir, si tu ordenador se llama "Ordenador_bueno" y posee la dirección MAC 00:11:22:33:44:55, un día revisando la tabla DHCP ves que hay un registro de un equipo llamado "Ordenador_malo" con dirección MAC 00:11:22:33:44:55, sabrás que hay un intruso porque esa dirección corresponde a un equipo que posee otro nombre.
Seguda: Intruso sin DHCP activado. En esta opción no aparece en la tabla DHCP, por lo que no sabremos el nombre del equipo y no tendremos otro dato para descubrirle. La única manera es que ambos usemos la red al mismo tiempo, de esta manera habrá un conflicto de direcciones y no habrá conectividad. Lo cual llamará mucho la atención y hará que comprobemos más detenidamente o simplemente cambiemos la contraseña.
Lamentablemente estas medidas no son infalibles, pero sí nos ayudarán a pillar al típico "listillo".
Saludos!
Estas errado en el punto en el que dices
La única manera es que ambos usemos la red al mismo tiempo, de esta manera habrá un conflicto de direcciones y no habrá conectividad.
Si te refieres a conflicto de direcciones IP si la otra persona la ha puesto a mano dudo que ponga justo la ip por donde suelen comenzar los DHCP (100, 33 etc...) si no que pondra una ip por debajo de ese rango (la 21 por ej) o muy por encima (la 231).
Si te refieres a que estara la misma Mac conectada 2 veces, una tarjeta wifi puede tener 2 o mas direcciones IP (el modo Bridge de VirtualBox es un ejemplo) por lo que ambos seguirian navegando sin problemas.
Me refería a mismas direcciones MAC. Pero aunque un equipo pueda tener dos direcciones IP, tenemos dos equipos con una misma dirección física y compartiendo medio. Aun así, es algo que nunca he probado, en cuanto tenga un hueco lo pruebo y verifico qué sucede.
Saludos
"La única manera es que ambos usemos la red al mismo tiempo, de esta manera habrá un conflicto de direcciones y no habrá conectividad."
Error, si ambos estais conectados a la vez con la misma IP y mac pasará lo siguiente:
A)Permite el tráfico SNMP: Vves un error de IP duplicada si tu SO lo muestra (windows lo hace por defecto, linux según la distro). En este caso sigues navegando, con un aviso pero sigue habiendo conectividad.
B)Lo filtra: no da ese error y sigues navegando tranquilamente.
Si se da B tu equipo descartará automáticamente los paquetes entrantes basando se en:
MAC destino: al ser la misma que la tuya no lo filtrará.
IP destino: idem
IP origen, puerto origen y puerto destino : si no coincide con ninguna conexión abierta los puertos que espera oir no habrá conflicto.
Es decir, para que te llegase su tráfico tendría que pasar:
Ambos os comunicais con la misma IP a la vez, al mismo puerto destino (cuando vuelve el paquete puerto origen) y con el mismo puerto origen (a la vuelta puerto destino) que es generado de forma aleatorea entre el 49152 y el 65535. Si se da esto (extremadamente improbable) solo afectará a ese socket y el resto de conexiones abiertas seguirán bien y ese socket durará solo unos segundos. En el peor de los casos te jode una descarga.
Las únicas opciones que se me ocurren son:
Esnifar tu tráfico (no lo vas a hacer) y si ves tráfico que no se corresponde a tu actividad e investigar.
Cambiar tu IP y ver si tu IP sigue activa
Bloquear ICMP entrante (ping) y hacer ping a tu IP (no se si esto será viable) y rezar para que tenga ICMP activo.
-- editado por última vez a las 20:51
Yo suelo hacer un barrido de ping...
Yo lo hago cada vez que se reinicia el ordenador, y además todos los días en horarios aleatorios.
Respondiendo a #2:
Esta claro que conectarse por cable es la opción mas segura, a la par que la que mejor rendimiento proporciona y es la que utilizo habitualmente cuando utilizo el portatil en casa, pero hay dispositivos que no los puedes conectar por cable, véase consolas portátiles, iPhone, iPad, etc...
-- editado por última vez a las 10:03
...
-- editado por última vez a las 11:51
muchas gracias por la información, me ha permitido pillar a algun listillo, de ahora en adelantes estaré más atento.
Yo utilizo el "WNetWatcher". Un programilla windows de 250kb. Te analiza la red y te dice los dispositivos que están conectados al mismo router que tu equipo.
El primer día me llevé un cabreo al ver a tres conectados. Pero resulta que era mi PC, mi móvil y mi tablet.
Yo uso Softperfect Network, te permite escanear varias redes y ademas tiene el modo live, que va escaneando ip a ip infinitamente hasta que cierras el programa.
Para mí lo mejor sería (en el caso de que necesitaramos tener el wifi activado) Sería poner una clave WPA2 la cual contenga Simobolos, minusculas, mayusculas, numeros y que tenga un buen tocho. por ejemplo: ~~5kLsgaR$(9889%&¨´ñ.
Y aparte con el LookLan también podríais ver los usuarios conectados en vuestra red, es muy facil de usar.
-- editado por última vez a las 23:00
Doy mi opinión desde el punto de vista de alguien que se ha encontrado con este problema y no tiene conocimientos informáticos avanzados sobre redes, o sea un usuario normal y corriente.
En el trabajo todo por red GIGABIT, velocidad muy buena y cero problemas de conectividad en 5 años.
En casa wifi por lo de los smartphones ipades y demás, en Mac tengo un applicacion para Mac Os que se llama ipscannner (tiene versión gratuita) y te mira quien está conectado en cada momento, la verdad es que para esos momentos de red lenta y conflictos de IP está muy bien, porque le puedes poner a tus dispositivos un nombre y agregarlos a una lista y de un simple vistazo ves los que están en la lista y los que no.
Además compre un router linksys que te da muchas funcionalidades y de una manera muy sencilla, como por ejemplo:
Puedes manejar su configuracion desde el iphone de esta manera puedes tener una wifi sin identificar en todos tus ordenadores y si alguien viene a casa y le quieres dar conectividad, desde el mismo iphone puedes generar una red de invitado provisional con acceso SOLO a internet y no al resto de datos compartidos.
Una cosa curiosa (o al menos a mi me lo parece ) que tiene este router es que puedes generar el wifi en dos frecuencias (estandard G y N) de tal manera que los dispositivos que tengan N los pones en la red de la N y los de la G en la G ( cada red con su nombre y pass) de esta manera evitas sobrecargar las frecuencias (o yo que se que, esto me lo explico un amigo y no lo entiendo bien :) ).
Acabo diciendo que tengo pensado cablear la casa y dejar todo lo que se pueda por cable gigabit (tele, play, sobremesa, reproductor multimedia,...) y dejo el wifi, exclusivamente para portátil, smartphone,....
Perdonad por el tocho.
Los ataques para los que das soluciones se hacían hace 5 años. Lo de filtrar las MAC no vale para nada, os podeis ahorrar ese paso, hay un punto debil en los filtros que aplican casi todos los routers (menos los que son muy muy caros y orientados a empresas), y para los ping, no hay más que configurar un poco bien el IPtables para que tu ordenador no responda a ellos.
Daros cuenta, que las herramientas disponibles para entrar y mantener acceso a cualquier wifi, no solo son las 3 que se ven en los videos de youtube.
-- editado por última vez a las 17:51
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect