¿Quién está conectando a mi router? Es muy importante averiguarlo, ya que una persona conectada a tu router puede derivar como poco en una pérdida de velocidad en tus conexiones a internet. Pero más allá de la pérdida de rendimiento de tu router, puedes estar siendo víctima de un hacker, mediante una técnica llamada «man in the middle». Esta técnica consiste en que alguien con acceso a tu router te cambia el Servidor de DNS, encargado de traducir un nombre de dominio a la correspondiente IP, para que tu tráfico pase a través de el.
El objetivo es usar la herramienta nmad para escanear la red local de mi casa y averiguar todo lo que pueda de los equipos que estén conectados a la misma IP, MAC, puertos abiertos, SO, versión de software de cada servicio (o puerto) abierto, etc. Y opcionalmente para “juagar” (termino que divierte) usar wireshark para capturar e investigar paquetes de tráfico de una de las máquinas.
Desde https://nmap.org/ me he descargado la herramienta.
Para ejecutar la herramienta debo conocer antes el objetivo, la IP de mi red. Para ello voy a mi equipo, que al tener Windows me permite acceder a la ip principal de la red local o puerta de enlace desde: Inicio>configuración>red e internet>ethernet>centro de redes y recursos compartidos
Hago clic en la red wifi y veo “detalles”:
En la siguiente pantalla que sale veremos un listado de detalles de conexión de red en el que podemos ver la IP que vamos a analizar, que es la denominada como «Puerta de enlace predeterminada». La puerta de enlace es: 192.168.2.1
Esta es la IP de mi red local y el objetivo del escaneo. Introduzco esta IP en la herramienta NMAP como objetivo y usando el comando por defecto nmap -T4 -A -v 192.168.2.1 lanzamos el escaneo de la red.
Uso el perfil el objetivo 192.168.2.1/24 para incluir la máscara de subred que es de tipo 24 ya que la máscara es: 255.255.255.0 = 11111111.11111111.11111111.00000000 donde tenemos 24 unos.
Uso el perfil Ping scan y ejecuto el escaneo obteniendo que tengo 5 maquinas conectadas:
Desde la pestaña TOPOLOGÍA de Nmad podemos ver cómo está conformada la red wifi escaneada con la herramienta.
En nuestro caso se han detectado 6 máquinas conectadas:
1º) Router
Nmap scan report for router.asus.com (192.168.2.1)
Host is up (0.0040s latency).
MAC Address: 34:97:F6:3E:95:C8 (Asustek Computer)
Sistema operativo: firmware
2º) Desconocido 1
Nmap scan report for 192.168.2.45
Host is up (0.84s latency).
MAC Address: 38:B1:DB:2E:07:35 (Hon Hai Precision Ind.)
3º) Desconocido 2
Nmap scan report for 192.168.2.135
Host is up (0.50s latency).
MAC Address: 3C:AB:8E:3C:B8:A2 (Apple)
Sistema operativo: IOS
4º) Este es un dispositivo tipo NAS (Nube para almacenamiento de archivos)
Nmap scan report for 192.168.2.161
Host is up (0.0079s latency).
MAC Address: 00:90:A9:EB:92:FD (Western Digital)
5º) Desconocido 3
Nmap scan report for Calleplatino13 (192.168.2.186)
Host is up (0.33s latency).
MAC Address: 6C:1D:EB:68:31:11 (u-blox AG)
6º) Ordenador portatil.
Nmap scan report for DESKTOP-R7D9C67 (192.168.2.231)
Host is up.
Sistema operativo: Windows.
Esta es la parte más importante. Debemos averiguar qué es cada una de las máquinas conectadas a nuestra red WIFI.
Nmap scan report for 192.168.2.45
Host is up (0.84s latency).
MAC Address: 38:B1:DB:2E:07:35 (Hon Hai Precision Ind.)
Nombre del Servidor: BRW38B1DB2E0735
Puertos abiertos:
Puertos Extra:
Servicios:
Salida Nmap: Al seleccionar la visualización de la información de salida de nmad obtenemos datos entre los que nos fijamos específicamente en los siguientes que ns indica claramente de qué máquina se trata:
| http-methods: | Supported Methods: GET HEAD POST TRACE |_ Potentially risky methods: TRACE | http-title: Brother MFC-1910W series |_Requested resource was /general/status.html 9100/tcp open jetdirect? MAC Address: 38:B1:DB:2E:07:35 (Hon Hai Precision Ind.)
El dispositivo “Desconocido 1” es una impresora Brother MFC-1910W series.
Para averiguar qué son los dispositivos desconocidos 2 y 3 procedemos de la misma forma.
A fin de verificar que no hay una máquina que no responde a mi Ping para ocultarse he realizado un nuevo escaneo con comando nmap -T4 -A -v 192.168.2.0/24 y perfil SYN. En realidad lo recomendable es hacer este escaneo en primer lugar, porque los dispositivos maliciosos podrían ocultarse si reciben el pin de detección.
Este comando me permite saltarme la protección contra el bloqueo de ISMP. El resultado del escaneo me indica que efectivamente hay 6 dispositivos en la red tal como entendíamos. Y me indica además los puertos que estos tienen abiertos.
Para finalizar la tarea capturamos los paquetes con wireshare.