¿Quién se conecta a mi red WIFI?

¿Quien se conecta a mi red WIFI?

¿Quién está conectando a mi router? Es muy importante averiguarlo, ya que una persona conectada a tu router puede derivar como poco en una pérdida de velocidad en tus conexiones a internet. Pero más allá de la pérdida de rendimiento de tu router, puedes estar siendo víctima de un hacker, mediante una técnica llamada «man in the middle». Esta técnica consiste en que alguien con acceso a tu router te cambia el Servidor de DNS, encargado de traducir un nombre de dominio a la correspondiente IP, para que tu tráfico pase a través de el. 

Misión Reconocimiento de redes:

El objetivo es usar la herramienta nmad para escanear la red local de mi casa y averiguar todo lo que pueda de los equipos que estén conectados a la misma IP, MAC, puertos abiertos, SO, versión de software de cada servicio (o puerto) abierto, etc. Y opcionalmente para “juagar” (termino que divierte) usar wireshark para capturar e investigar paquetes de tráfico de una de las máquinas. 

Paso 1) ¿Cómo instalar la herramienta nmad para escanear tu red WIFI?

Desde https://nmap.org/ me he descargado la herramienta.

Paso 2) Averigua la IP principal de tu red WIFI (Puerta de Enlace)

Para ejecutar la herramienta debo conocer antes el objetivo, la IP de mi red. Para ello voy a mi equipo, que al tener Windows me permite acceder a la ip principal de la red local o puerta de enlace desde: Inicio>configuración>red e internet>ethernet>centro de redes y recursos compartidos

Cuál es la IP de mi red WIFI.

Hago clic en la red wifi y veo “detalles”:

En la siguiente pantalla que sale veremos un listado de detalles de conexión de red en el que podemos ver la IP que vamos a analizar, que es la denominada como «Puerta de enlace predeterminada».  La puerta de enlace es: 192.168.2.1 

Esta es la IP de mi red local y el objetivo del escaneo. Introduzco esta IP en la herramienta NMAP como objetivo y usando el comando por defecto nmap -T4 -A -v 192.168.2.1 lanzamos el escaneo de la red. 

Uso el perfil el objetivo 192.168.2.1/24 para incluir la máscara de subred que es de tipo 24 ya que la máscara es: 255.255.255.0 = 11111111.11111111.11111111.00000000 donde tenemos 24 unos. 

Uso el perfil Ping scan y ejecuto el escaneo obteniendo que tengo 5 maquinas conectadas:

Usar nmad para escanear redes.

Paso 3) Averigua la topología de la RED.

Desde la pestaña TOPOLOGÍA de Nmad podemos ver cómo está conformada la red wifi escaneada con la herramienta. 

Topología de RED.

Paso 4) Analiza los datos para saber a qué equipo corresponde cada IP de dispositivo conectado a tu RED WIFI con Nmad.

En nuestro caso se han detectado 6 máquinas conectadas: 

1º) Router
Nmap scan report for router.asus.com (192.168.2.1) 

Host is up (0.0040s latency). 

MAC Address: 34:97:F6:3E:95:C8 (Asustek Computer)

Sistema operativo: firmware

 

2º) Desconocido 1
Nmap scan report for 192.168.2.45 

 Host is up (0.84s latency). 

MAC Address: 38:B1:DB:2E:07:35 (Hon Hai Precision Ind.)

 

3º) Desconocido 2
Nmap scan report for 192.168.2.135

 Host is up (0.50s latency). 

MAC Address: 3C:AB:8E:3C:B8:A2 (Apple) 

Sistema operativo: IOS

 

4º) Este es un dispositivo tipo NAS (Nube para almacenamiento de archivos) 

 Nmap scan report for 192.168.2.161

Host is up (0.0079s latency).

 MAC Address: 00:90:A9:EB:92:FD (Western Digital) 

 

5º) Desconocido 3
Nmap scan report for Calleplatino13 (192.168.2.186) 

Host is up (0.33s latency). 

MAC Address: 6C:1D:EB:68:31:11 (u-blox AG) 

 

6º) Ordenador portatil.
Nmap scan report for DESKTOP-R7D9C67 (192.168.2.231)
Host is up.
Sistema operativo: Windows.

Paso 5) Investigamos a qué dispositivos corresponden las máquinas desconocidas 1, 2 y 3.

Esta es la parte más importante. Debemos averiguar qué es cada una de las máquinas conectadas a nuestra red WIFI. 

Investigación del dispositivo desconocido 1.

Nmap scan report for 192.168.2.45 

 Host is up (0.84s latency). 

MAC Address: 38:B1:DB:2E:07:35 (Hon Hai Precision Ind.)

Para Saber más usamos el comando: nmap -T4 -A -v 192.168.2.45 y Perfil Intense scan

Nombre del Servidor: BRW38B1DB2E0735 

Puertos abiertos:

Puertos Extra:

Servicios: 

Salida Nmap: Al seleccionar la visualización de la información de salida de nmad obtenemos datos entre los que nos fijamos específicamente en los siguientes que ns indica claramente de qué máquina se trata: 

| http-methods: | Supported Methods: GET HEAD POST TRACE |_ Potentially risky methods: TRACE | http-title: Brother MFC-1910W series |_Requested resource was /general/status.html 9100/tcp open jetdirect? MAC Address: 38:B1:DB:2E:07:35 (Hon Hai Precision Ind.)

Conclusiones sobre el dispositivo desconocido 1

El dispositivo “Desconocido 1” es una impresora Brother MFC-1910W series.

Para averiguar qué son los dispositivos desconocidos 2 y 3 procedemos de la misma forma. 

 

Paso 6) Realizamos un escaneo más profundo:

A fin de verificar que no hay una máquina que no responde a mi Ping para ocultarse he realizado un nuevo escaneo con comando nmap -T4 -A -v 192.168.2.0/24 y perfil SYN. En realidad lo recomendable es hacer este escaneo en primer lugar, porque los dispositivos maliciosos podrían ocultarse si reciben el pin de detección

Este comando me permite saltarme la protección contra el bloqueo de ISMP. El resultado del escaneo me indica que efectivamente hay 6 dispositivos en la red tal como entendíamos. Y me indica además los puertos que estos tienen abiertos. 

Opcional Captación de paquetes del dispositivo 3. Tablet:

Para finalizar la tarea capturamos los paquetes con wireshare.

Escanear paquetes de datos interceptados de una maquina con wireshare.