Detectar intrusos en tu red wifi con Ubuntu

El otro día estuve teniendo problemas de conexión en casa, al principio pensé que era del proveedor de servicios, pero no era como otras veces, había pequeños cortes de red y la red parecía ir algo diferente a lo normal.

La clave de la conexión wifi es una elegida por mi y con cifrado WPA2. En principio debería ser una red bastante segura pero claro no es un muro infranqueable. Así que decidí echar un ojo por si algún intruso había conseguido descifrar la contraseña.

 

Para esto hice uso de nmap que es una herramienta que nos sirve para escanear los puertos de la dirección o direcciones IP que le demos (podemos instalarla desde consola con: sudo apt-get install nmap).

Para ver las direcciones IP de los equipos conectados a la red utilicé nmap con los siguientes parametros desde consola:

nmap -v -sP 192.168.1.1/24 | grep down -v

(Dependiendo de la configuración que tengamos en nuestra red la dirección IP podría cambiar) (El grep es para filtrar los que no están activos)

El resultado es el siguiente:

deteccion-intrusos-red-wifi

 

Con este listado de todas las IPs conectadas a la red tan sólo tenía que identificar la IP desconocida (en el caso de que la hubiese, que así era).

 

Para denegar el acceso a este intruso desconocido de mi red tan sólo tenía que conseguir la dirección MAC de su tarjeta de red. Para eso sencillamente hay que usar el siguiente comando (con la dirección IP del intruso):

arp -n 192.168.1.101

Que nos da el siquiente resultado:

obtener-direccion-MAC

Teniendo estos datos podemos meternos en la configuración de nuestro router o punto de acceso wifi y denegar el acceso al intruso con el filtrado MAC del intruso para que no pueda acceder a nuestra red. En el caso de mi router la configuración es del siguiente modo:

configuracion-router-wifi-mac

 

De esta manera podemos detectar inrusos en nuestra red y denegarles el acceso (si nuestro router o punto de acceso wifi tiene la posibilidad), de todos modos también es recomendable cambiar la contraseña de nuestra red wifi, ya que ha sido descifrada y por ello ha dejado de ser segura.

 

No obstante el intruso podría volver intentar acceder con otro equipo o cambiando la dirección MAC de su tarjeta de red, ya que en algunos casos es posible. Así que deberemos estar atentos por si esto vuelve a suceder. También podríamos cambiar el filtrado MAC para que sólo deje conectarse a las MAC conocidas, de este modo la red sería aún más segura.

16 comentarios

  1. Leo

    Gracias!. Yo uso algo más sencillo aunque requiere instalar un pequeño programa (nast):

    sudo apt-get install nast

    y luego haces un:

    sudo nast -m

    Te mostrarán las IP con su MAC conectadas a tu red

    Saludos

  2. Paco Valverde

    Muy buen post. Yo veo más seguro solo permitir a las MAC conocidas. Los inconvenientes son: a tus dispositivos móviles les tienes que sacar la MAC. Y hay que esperar que el intruso no haya cogido ya tus MACs y las clone para utilizarlas él.
    Saludos

  3. Jorge

    Muy buen post! Lamentablemente, aun con filtrado MAC, se puede suplantar la MAC de los dispositivos conocidos de manera muy sencilla.
    Lo mejor es poner un proxy de manera transparente, o un whireshark, esperar que se conecte el susodicho, analizar donde se conecta que seguramente sean sus cosas de fb, twitter y demas, y charlar con el o ella para pagar a medias el ADSL. :)
    Por cierto, por los dos primeros pares de la MAC – http://www.coffer.com/mac_find/?string=6c%3Aad , se puede saber que esta usando esta persona, y parece un equipo bastante potente – http://www.kztech.cn/en/index.asp

    Un saludo

    Por cierto

    • Alex

      Hola Jorge, yo tengo el whireshark en linux pero me podrias decir mas o menos como hacer eso, aca tengo mil personas colgandose en el internet del local y con el analizador de protocolos me parece mejor :D

    • Fernando

      Hola Jorge! el problema es que si se conectan con https no se pueden ver los paquetes no? O hay alguna manera?

  4. xdsolidoblue

    que te diria me a servido de mucho ese post que tu a puesto para destetar a un intruso ya localices a que unos que me estaban dando problemas no se si se eliminaron todos habia una maquinas que no se pudo entrar a ella gracias

  5. taregon

    Dato importante, si usas arp -n xxx.xxx.xxx.xxx
    puede que te salte el siguiente mensaje “– no entry” y eso se debe a que la tabla arp no ha hecho una resolución de esa dirección en nuestro sistema operativo, para agregarla lo mas simple es hacer primero un ping a la ip en cuestión y luego ejecutar el comando de arp,

  6. Arturo Olmedo

    Que tal
    Yo tengo la siguiente duda
    Cuando uso nmap me aparece un host en la direccion 253; que no se que es.
    Cuando entro desde el Modem solo me aparecen 3 que identifo; pero nmap me devuelve uno mas. Conozco la 64,92,254(router) pero no se que es la 253

    Este es el listado.

    Alguien sabe a que se debe esto?

    jaor@jaor-Satellite-C855:~$ nmap -sP 192.168.1.1/24

    Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-06 20:40 CDT
    Nmap scan report for android-ce002be86c2e6234.lan (192.168.1.64)
    Host is up (0.059s latency).
    Nmap scan report for jaor-Satellite-C855.lan (192.168.1.92)
    Host is up (0.00074s latency).
    Nmap scan report for Linux.lan (192.168.1.253)
    Host is up (0.052s latency).
    Nmap scan report for dsldevice.lan (192.168.1.254)
    Host is up (0.17s latency).
    Nmap done: 256 IP addresses (4 hosts up) scanned in 25.17 seconds
    jaor@jaor-Satellite-C855:~$

    Gracias

  7. carlos

    existe alguna manera con este programa de saber a clave de acceso del router, he perdido la contraseña y no puedo reiniciar a config de fábrica, es un imicro NT-WR54M. Saludos

    • Keiver

      Si podes con ese router yo lo reinicie solo tienes q apagarlo y meterle una aguja 10 seg y lo prendes ojo con la aguja puesta

  8. Snuf

    Yo también tengo el mismo problema, al realizar un análisis de red con Avast me manda ese “linux.lan” con la misma ip. últimamente he recibido correos de que intentaron meterse a mi cuenta de Facebook y de eBay, también me hablaron de un banco en el que no tengo cuenta. Creo que es importante revisar bien y eliminar cualquier intrusión.

  9. Jorge

    A los que comentan del linux.lan con ip 192.168.1.253 al parecer es el sharing content. En https://fccid.io/document.php?id=1924670 esta el manual del modem Technicolor TG788vn v2 que es el que yo tengo, en la página 65 del manual menciona esa dirección ip.

    Además en estos enlaces al parecer se confirma esa sospecha de que linux.lan y la ip 192.168.1.253 son para el sharing content en especial en el foro italiano en la segunda página:
    http://www.fastweb.it/forum/servizi-rete-fissa-tematiche-tecniche/intruso-nella-mia-rete-t7304-10.html
    https://community.plus.net/t5/Broadband/Thomson-TG585v8-Unknown-device-on-network/td-p/797137
    https://forum.tele2.nl/vast-internet-188/unknown-device-network-46764
    http://forums.whirlpool.net.au/archive/1303747

    De todas formas seguiré leyendo un poco más el manual del modem si encuentro algo aviso aunque creo que esa es la razón de que nos aparezca DSLDEVICE.LAN con ip 192.168.1.254 Y LINUX.LAN con ip 192.168.1.253, salu2.

Dejar un comentario

Puedes usar las siquientes etiquetas HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>