sábado, 5 de marzo de 2005

¿Está mi router sufriendo ataques?

En algún momento, quizá después de terminar de descargar mi versión para uso personal de Solaris 10, debería tratar de volver a descargarme un linux (y, lo que es peor, el código fuente de su núcleo) para volver a compilar el driver de mi mochila USB wifi, pues —como creo que os he dicho ya en un montón de lugares— aunque utilice los procedimientos adecuados, no consigo que la mochila funcione si no es con el driver de Zydas, y para compilar el driver de Zydas tengo que volver a compilar el núcleo (lo que, a su vez, requiere que me descargue el código fuente).

En todo caso, otra cosa que debería hacer es aprender a manejar la herramienta ettercap, y no porque quiera espiar a nadie. Creo que alguien ha conseguido atravesar mis medidas de seguridad, y me gustaría identificarlo para impedir su acceso. Estuve intentándolo el otro día, pero no encontré a mi atacante.

¿Paranoia? No lo sé. El caso es que mi portátil, que últimamente corro bajo Windows para poder usar la red inalámbrica, comenzó a tener errores de conexión a causa de la mula. Un error fácilmente solventable: no hubo sino que bajar la velocidad de descarga. Pero un par de días después, mi portátil comenzó a perder su conexión WiFi, no sólo cuando estaba en mi dormitorio (donde tengo que usar una pantalla metálica para convertir mi mochila USB en antena direccional), sino incluso a un metro de mi punto de acceso. Así que decidí conectarme a mi punto de acceso y vi en su registro de actividades que estaba reseteándose (es decir, borrando el registro) cada 5 minutos.

Modifiqué la configuración del registro de actividades (incluyendo la activación del envío de copias por correo electrónico) pero no encontré nada... en aquel momento.

Inicié un sniffer desde windows, pero el que tengo instalado actualmente no activa la configuración "promiscua" de mi conexión de red. Así que metí un disco de "análisis forense" (creo que usé Inside Security, pero quizá usara Network Security Toolkit), inicié la red en modo promiscuo y me dediqué a olisquear las subredes de mi enrutador ADSL y de mi punto de acceso (sí, están en dos subredes distintas; soy así de paranoico). Conecté mi ordenador (mediante cable) a la subred del ADSL y quizá por ello (como vereis más tarde) no encontré nada. El caso es que tardé por lo menos una hora en aprender a manejar básicamente ettercap (gracias a Dios se me ocurrió probar la visualización ncurses, y trasteando un poco encontré por fin en dónde estaba la opción para ver los malditos paquetes), pero ninguno de los módulos de seguridad detectó ningún ataque. Lo que ya no se me ocurrió fue sustituir el punto de acceso por mi ordenador, porque había un segundo ordenador conectado a él (el emule, ¿recordáis?). En cualquier caso, activé todos los métodos posibles para interceptar las comunicaciones entre ambos puntos (enviando señales falsas icmp, arp y otros) y espero por el amor de dios que ninguno de los paquetes maliciosos que tuve que enviar salieran de mi subred (porque no es cuestión de cabrear a mi ISP). Capturé muchísimos paquetes, pero todos estaban, aparentemente, vacíos.

Harto, apagué el portátil, me metí en el sobremesa, descubrí que todo el tráfico hacia el emule había sido interceptado y bloqueado, y me metí en la configuración del punto de acceso.

En los logs aparecían un montón de paquetes bloqueados enviados a puertos no enrutables (supongo que sería cosa del sniffer, aunque juraría que desactivé el "envenenamiento ip" antes de salir: ¿habré estropeado mi router?) y un dato nuevo: un ordenador intentándose conectar a mi punto de acceso WiFi.

El caso es que su dirección de hardware parecía corresponder a un enrutador, o al menos yo lo había visto siempre en enrutadores: 00-20-C5-xx-yy-zz. Decidí volver al portátil, donde llevo una base de datos de puntos de acceso inalámbricos percibidos desde mi casa (o, mejor decir, desde mi sillón) y ¡eureka! encontré la dirección del aparato que estaba intentando conectarse a mi red inalámbrica. Un ordenador, punto de acceso o vaya usté a saber qué que en tiempos tenía el BSSID "apple" y actualmente ha cambiado a un BSSID más inteligente (una serie de números al azar). Supongo que es punto de acceso, pues tiene BSSID, pero también podría ser un ordendor funcionando en modo pseudo-IBSS (punto-a-punto).

Posibilidades:
a) Mi vecino está atacando mi punto de acceso. En tal caso, debería añadir medidas de seguridad adicionales (cambiar de clave, cambiar el BSSID de mi router —que ya está oculto&mdash, cambiar mi mochila inalámbrica por otra que admita sistemas de encriptación más seguros, instalar un servidor radius...).

b) Mi vecino tiene su router configurado de forma que trata de buscar estaciones repetidoras, o bien tiene un ordenador configurado en "búsqueda automática de punto de acceso", y resulta que el mío es el más cercano a su ordenador. Se trata de lo más probable, pero aun así extraño: Yo sólo he captado su señal dos veces anteriormente, y muy débil, y, además, mi punto de acceso no sólo tiene la encriptación activada, como casi todos los de los vecinos de mi edificio, sino que tiene otras medidas de seguridad.

c) Mi vecino tiene todo bien configurado, pero estamos usando el mismo canal y se producen interferencias. Esto es lo más probable, pero yo no voy a ser el primero en cambiar de canal.

Así que ya sabéis: la paranoia nunca es suficiente. Mucha seguridad para todos, y seguid contestando a la encuesta.

5 comentarios:

DrQbikus dijo...

Si no lo he entendido mal (es que tu post es denso y yo estoy griposo, como tú XD), tienes ataques a tu router mediante paquetes que llegan a través de la wireless, y que envía alguien desde afuera, no?

Si es eso, lo primero que has de hacer es filtrar las entradas al access point mediante la MAC. Deja que sólo tus MAC pueda acceder.

Otra cosa, ¿cómo es posible que se conecte alguien, si hay encriptación? Si eso, cambia la clave. 128 bits mínimo.

Si no es eso, dímelo, que será que lo entendí mal...

josemoya dijo...

Tengo clave de 128 bits (mi mochila usb no da para más), filtro mac, bssid oculto. Precisamente he detectado el intento de conexión porque he cambiado la configuración del log: antes, no me mostraba a quienes no se conseguían conectar. Y este ordenador era uno de ellos.

Anónimo dijo...

jajjaj parece una pelicula de espias...mira... yo tengo mi Wifi libre, CON CIERTAS LIMITACIONES ;) es decir... la he dejado abierta, de esta forma aprovecharé al 100% los mas de 30€ q pago por la conexion... Por cierto ... no sería más fácil q todas esas paja mentales q te haces simplemente .. ¿HABLAR CON TU VECINO?

CAZWOLF27@HOTMAIL.COM

jose dijo...

Bueno, cawolf, puesto que esta entrada es antigua (casi 2 años) te diré que el problema resultó ser causado por interferencias. Las redes Wi-Fi tenían un alcance increíble cuando sólo había una o dos por manzana, pero cuando son más "chocan" entre ellas. La solución suele ser cambiar de canal.
Por otro lado, lo peligroso de compartir tu Wifi con otros es que pueden leer las páginas web que tú lees, el correo que tú lees (a menos que tu ISP soporte el SSL) y, si tienes activas las "hidden shares", tu disco duro.

richar dijo...

no tengo nada q ocultar... de hecho tengo un pedazo de espacio en msn donde cualquiera puede seguir mis evoluciones en el mundo.. ¿no es esto una aldea global? pues ya está. En la actualidad tengo cerrada la Wifree por culpa de los delitos informaticos.. no quiero q nadie comenta un delito usando mi red... :S