interesante

Cómo aprovechar su red y ver todo lo que sucede en ella

Tu red doméstica es tu fortaleza. En su interior se encuentran toneladas de información valiosa: archivos sin cifrar, datos personales y privados y, lo que es más importante, computadoras que pueden ser secuestradas y utilizadas para cualquier propósito. Hablemos de cómo puedes, con el poder del mal, rastrear tu red doméstica para asegurarte de no tener invitados no invitados.

En esta publicación, le mostraremos cómo mapear su red, echar un vistazo debajo de las cubiertas para ver quién está hablando con qué y cómo descubrir dispositivos o procesos que pueden estar reduciendo el ancho de banda. En resumen: podrá reconocer las señales de que algo en su red está comprometido. Asumiremos que está familiarizado con algunos conceptos básicos de redes, como cómo encontrar la lista de dispositivos de su enrutador y qué es una dirección MAC. Si no, dirígete a nuestra escuela nocturna Know Your Network para repasar primero.

Sin embargo, antes de continuar, debemos emitir una advertencia: use estos poderes para siempre y solo ejecute estas herramientas y comandos en el hardware o las redes que posee o administra. Al amable departamento de TI de su vecindario no le gustaría que escanee puertos u olfatee paquetes en la red corporativa, y tampoco a todas las personas en su cafetería local. Al igual que con todas las publicaciones de la semana del mal, el punto es enseñarle cómo se hace para que pueda hacerlo usted mismo y protegerse, no explotar a los demás.

Paso uno: hacer un mapa de red

Antes de siquiera iniciar sesión en su computadora, escriba lo que cree que sabe. Comience con una hoja de papel y anote todos sus dispositivos conectados. Eso incluye cosas como televisores inteligentes, decodificadores, computadoras portátiles y computadoras, tabletas y teléfonos, o cualquier otro dispositivo que pueda estar conectado a su red. Si ayuda, dibuje un mapa de su hogar, completo con habitaciones. Luego escriba cada dispositivo y dónde vive. Puede sorprenderse con exactamente cuántos dispositivos ha conectado a Internet al mismo tiempo.

Los administradores e ingenieros de red reconocerán este paso: es el primer paso para explorar cualquier red con la que no esté familiarizado. Haga un inventario de los dispositivos en él, identifíquelos y luego vea si la realidad coincide con lo que espera. Si (o cuando) no lo hace, podrá eliminar rápidamente lo que sabe de lo que no sabe. Puede tener la tentación de iniciar sesión en su enrutador y mirar su página de estado para ver qué está conectado, pero aún no lo haga. A menos que pueda identificar todo en su red por su dirección IP y MAC, solo obtendrá una gran lista de cosas, una que incluye cualquier intruso o libre. Primero haga un inventario físico, luego pase al digital.

Paso dos: pruebe su red para ver quién está en ella

Una vez que tenga un mapa físico de su red y una lista de todos sus dispositivos de confianza, es hora de comenzar a cavar. Inicie sesión en su enrutador y verifique su lista de dispositivos conectados. Eso le dará una lista básica de nombres, direcciones IP y direcciones MAC. Sin embargo, recuerde que la lista de dispositivos de su enrutador puede mostrarle o no todo. Esto, pero algunos enrutadores solo le muestran dispositivos que usan el enrutador para su dirección IP. De cualquier manera, mantenga esa lista a un lado, es buena, pero queremos más información.

A continuación, vamos a recurrir a nuestro viejo amigo nmap. Para aquellos que no están familiarizados, nmap es una herramienta de escaneo de red de código abierto y multiplataforma que puede encontrar dispositivos en su red, junto con un montón de detalles en esos dispositivos. Puede ver los puertos abiertos, el sistema operativo en uso, las direcciones IP y MAC, incluso los puertos y servicios abiertos. Descargue nmap aquí, consulte estas guías de instalación para configurarlo y siga estas instrucciones para descubrir hosts en su red doméstica.

En mi caso, lo instalé y lo ejecuté desde la línea de comandos (si desea una interfaz gráfica, Zenmap generalmente viene con el instalador), luego le dije a nmap que escaneara el rango de IP que estoy usando para mi red doméstica. Encontró la mayoría de los dispositivos activos en mi red doméstica, excluyendo algunos en los que tengo un poco de seguridad mejorada (aunque también fueron descubiertos con algunos de los comandos de nmap, que puede encontrar en el enlace de arriba).

Compare la lista de nmap con la lista de su enrutador. Debería ver las mismas cosas (a menos que algo que escribió anteriormente esté apagado ahora). Si ve algo en su enrutador que nmap no apareció, intente usar nmap contra esa dirección IP directamente. Luego, en función de lo que sabe, mire la información que nmap encontró sobre el dispositivo. Si afirma ser un Apple TV, probablemente no debería tener servicios como http en ejecución, por ejemplo. Si parece extraño, indague específicamente para obtener más información, como lo hice en la captura de pantalla anterior. Noté que una de mis máquinas rechazaba las solicitudes de ping, lo que hizo que nmap lo omitiera. Le dije a nmap que lo probara de todos modos, y seguro que respondió.

Nmap es una herramienta extremadamente poderosa, pero no es la más fácil de usar. Si eres un poco tímido, tienes otras opciones. Angry IP Scanner es otra utilidad multiplataforma que tiene una interfaz atractiva y fácil de usar que le proporcionará mucha información. Who Is On My Wi-Fi mencionado anteriormente es una utilidad de Windows que ofrece características similares y se puede configurar para que escanee en segundo plano en caso de que alguien se conecte cuando no esté mirando. Wireless Network Watcher, nuevamente para Windows, es otra utilidad que hemos mencionado con una interfaz agradable que, a pesar de su nombre, no se limita a las redes inalámbricas.

Paso tres: husmee y vea con quién están hablando todos

En este momento, debe tener una lista de dispositivos que conoce y en los que confía, y una lista de dispositivos que ha encontrado conectados a su red. Con suerte, has terminado aquí, y todo coincide o se explica por sí mismo (como un televisor que actualmente está apagado, por ejemplo). Sin embargo, si ve actores que no reconoce, servicios en ejecución que no corresponden al dispositivo (¿por qué mi Roku ejecuta postgresql?), O algo más se siente mal, es hora de hacer un poco de olfateo. Oler paquetes, eso es.

Cuando dos computadoras se comunican, ya sea en su red o en Internet, se envían bits de información llamados "paquetes" entre sí. En conjunto, esos paquetes crean flujos de datos complejos que componen los videos que vemos o los documentos que descargamos. El rastreo de paquetes es el proceso de capturar y examinar esos bits de información para ver a dónde van y qué contienen. Para hacer esto, necesitaremos Wireshark. Es una herramienta de monitoreo de red multiplataforma que solíamos hacer un pequeño rastreo de paquetes en nuestra guía para rastrear contraseñas y cookies. En este caso, lo usaremos de manera similar, pero nuestro objetivo no es capturar nada específico, solo monitorear qué tipos de tráfico circulan por la red. Para hacer esto, deberá ejecutar Wireshark a través de Wi-Fi, en "modo promiscuo". Eso significa que no solo está buscando paquetes que se dirigen hacia o desde su computadora, sino también para recolectar cualquier paquete que pueda ver en su red.

Una vez instalado, abra WireShark y seleccione su adaptador de Wi-Fi. Haga clic en "opciones" al lado, y como puede ver en el video de arriba (cortesía de la gente de Hak5), puede seleccionar "modo promiscuo" para ese adaptador. Una vez que lo haya hecho, puede comenzar a capturar paquetes. Cuando comience la captura, obtendrá mucha información. Afortunadamente, Wireshark anticipa esto y hace que sea fácil de filtrar.

Como solo estamos buscando ver qué están haciendo los actores sospechosos en su red, asegúrese de que el sistema en cuestión esté en línea. Siga adelante y capture unos minutos de tráfico para empezar. Luego puede filtrar ese tráfico en función de la dirección IP de ese dispositivo utilizando los filtros integrados de Wireshark. Hacer esto le brinda una vista rápida de con quién está hablando esa dirección IP y qué información están enviando de un lado a otro. Puede hacer clic con el botón derecho en cualquiera de esos paquetes para inspeccionarlo, seguir la conversación entre ambos extremos y filtrar toda la captura por IP o conversación. Para más información, How-To Geek tiene una guía detallada sobre el filtrado de Wireshark. Es posible que no sepa lo que está viendo, pero ahí es donde entra un poco de investigación.

Si ve que esa computadora sospechosa habla con una dirección IP extraña, use el comando nslookup (en el símbolo del sistema en Windows o en una terminal en OS X o Linux) para obtener su nombre de host. Eso puede decirle mucho sobre la ubicación o el tipo de red a la que se conecta su computadora. Wireshark también le indica los puertos que se están utilizando, así que busque en Google el número de puerto y vea qué aplicaciones lo usan. Si, por ejemplo, tiene una computadora que se conecta a un nombre de host extraño a través de puertos que a menudo se usan para IRC o transferencia de archivos, es posible que tenga un intruso. Por supuesto, si encuentra que el dispositivo se está conectando a servicios acreditados a través de puertos de uso común para cosas como correo electrónico o HTTP / HTTPS, es posible que haya tropezado con una tableta que su compañero de cuarto nunca le dijo que poseía, o alguien de al lado robando su Wi- Fi. De cualquier manera, tendrás los datos necesarios para resolverlo por tu cuenta.

Paso cuatro: juega el juego largo y registra tus capturas

Por supuesto, no todos los malos actores de su red estarán en línea y se irán mientras los busca. Hasta este punto, le enseñamos cómo verificar si hay dispositivos conectados, escanearlos para identificar quiénes son y luego oler un poco de su tráfico para asegurarse de que todo esté por encima del tablero. Sin embargo, ¿qué debe hacer si la computadora sospechosa está haciendo su trabajo sucio por la noche cuando está durmiendo, o si alguien está robando su Wi-Fi cuando está en el trabajo todo el día y no está cerca para revisar?

Hay un par de formas de abordar esto. Por un lado, la aplicación Who's On My Wi-Fi que mencionamos anteriormente puede ejecutarse en segundo plano en su computadora con Windows y vigilar quién se conecta y cuándo. Puede enviarle un ping cuando no lo está mirando y avisarle cuando alguien está conectado a su red, lo cual es un buen toque. Puede dejarlo funcionando en una computadora en casa, y luego, cuando se despierte o vuelva a casa del trabajo, vea lo que sucedió mientras no estaba mirando.

Su próxima opción es verificar las capacidades de registro de su enrutador. Enterrado profundamente en la solución de problemas o las opciones de seguridad de su enrutador suele haber una pestaña dedicada al registro. Cuánto puede registrar y qué tipo de información varía según el enrutador, pero puede ver en la captura de pantalla anterior que puedo registrar la IP entrante, el número de puerto de destino, la IP saliente o la URL filtrada por el dispositivo en mi red, la dirección IP interna y su MAC dirección, y qué dispositivos en mi red se han registrado con el enrutador a través de DHCP para su dirección IP (y, por proxy, cuáles no). Es bastante robusto, y cuanto más tiempo dejes los registros en ejecución, más información podrás capturar. .

Firmwares personalizados como DD-WRT y Tomato (que le mostramos cómo instalar) le permiten monitorear y registrar el ancho de banda y los dispositivos conectados durante el tiempo que desee, e incluso pueden volcar esa información en un archivo de texto que usted puede tamizar a través de más tarde. Dependiendo de cómo haya configurado su enrutador, incluso puede enviarle ese archivo por correo electrónico regularmente o dejarlo en un disco duro externo o NAS. De cualquier manera, el uso de las funciones de registro ignoradas con frecuencia de su enrutador es una excelente manera de ver si, por ejemplo, después de la medianoche y todos se han ido a la cama, su PC para juegos comienza a colapsar y transmitir muchos datos salientes, o si tiene una sanguijuela regular a quien le gusta conectarse a su Wi-Fi y comenzar a descargar torrents a horas extrañas.

Su última opción, y una especie de opción nuclear, es dejar que Wireshark capture durante horas o días. No es inaudito, y muchos administradores de red lo hacen cuando realmente analizan comportamientos extraños en la red. Es una excelente manera de identificar a los malos actores o dispositivos habladores. Sin embargo, requiere dejar una computadora encendida durante años, oler constantemente los paquetes en su red, capturar todo lo que la atraviesa, y esos registros pueden ocupar una buena cantidad de espacio. Puede recortar las cosas filtrando las capturas por IP o tipo de tráfico, pero si no está seguro de lo que está buscando, tendrá datos para examinar cuando esté mirando una captura incluso de unos pocos. horas Aún así, definitivamente te dirá todo lo que necesitas saber.

En todos estos casos, una vez que tenga suficientes datos registrados, podrá averiguar quién está usando su red, cuándo y si su dispositivo coincide con el mapa de red que hizo anteriormente.

Paso cinco: Bloquee su red

Si ha seguido hasta aquí, ha identificado los dispositivos que deberían poder conectarse a su red doméstica, los que realmente se conectan, identificó las diferencias y, con suerte, descubrió si hay actores malos, dispositivos inesperados, o sanguijuelas dando vueltas. Ahora todo lo que tiene que hacer es tratar con ellos, y sorprendentemente, esa es la parte fácil.

Las sanguijuelas Wi-Fi se iniciarán tan pronto como bloquee su enrutador. Antes de hacer cualquier otra cosa, cambie la contraseña de su enrutador y apague WPS si está activado. Si alguien logró iniciar sesión directamente en su enrutador, no desea cambiar otras cosas solo para que inicie sesión y recupere el acceso. Asegúrate de usar una contraseña buena y segura que sea difícil de usar por fuerza bruta. Luego, busque actualizaciones de firmware. Si su sanguijuela ha utilizado un exploit o vulnerabilidad en el firmware de su enrutador, esto los mantendrá alejados, suponiendo que ese exploit haya sido parcheado, por supuesto. Finalmente, asegúrese de que su modo de seguridad inalámbrica esté configurado en WPA2 (porque WPA y WEP son muy fáciles de descifrar) y cambie su contraseña de Wi-Fi a otra contraseña buena y larga que no pueda ser forzada. Entonces, los únicos dispositivos que deberían poder reconectarse son aquellos a los que les da la nueva contraseña.

Eso debería encargarse de que cualquiera lea su Wi-Fi y realice todas sus descargas en su red en lugar de las suyas. También ayudará con la seguridad por cable. Si puede, también debe tomar algunos pasos adicionales de seguridad inalámbrica, como desactivar la administración remota, deshabilitar UPnP y, por supuesto, ver si su enrutador admite Tomato o DD-WRT.

Para los malos actores en sus computadoras cableadas, tiene algo de caza que hacer. Si en realidad es físico, debe tener una conexión directa a su enrutador. Comience a rastrear cables y hable con sus compañeros de cuarto o familiares para ver qué pasa. En el peor de los casos, siempre puede volver a iniciar sesión en su enrutador y bloquear esa dirección IP sospechosa por completo. El propietario de ese decodificador o de una computadora conectada silenciosamente comenzará a funcionar bastante rápido cuando deje de funcionar.

Sin embargo, la mayor preocupación aquí son las computadoras comprometidas. Un escritorio que ha sido secuestrado y unido a una botnet para la extracción de Bitcoin durante la noche, por ejemplo, o una máquina infectada con malware que llama a casa y envía su información personal a quién sabe dónde, puede ser malo. Una vez que limite su búsqueda a computadoras específicas, es hora de descubrir dónde radica el problema en cada máquina. Si está realmente preocupado, adopte el enfoque del ingeniero de seguridad para el problema: una vez que sus máquinas son propiedad, ya no son confiables. Elimínelos, reinstale y restaure desde sus copias de seguridad. (Usted tiene copias de seguridad de sus datos, ¿no es así?) Solo asegúrese de vigilar la PC después; no desea restaurar desde una copia de seguridad infectada e iniciar el proceso nuevamente.

Si está dispuesto a arremangarse, puede obtener una sólida utilidad antivirus y un escáner antimalware bajo demanda (sí, necesitará ambos) e intentar limpiar la computadora en cuestión. Si vio tráfico para un tipo específico de aplicación, observe si no es malware o simplemente algo que alguien ha instalado y se está comportando mal. Siga escaneando hasta que todo salga limpio, y siga revisando el tráfico de esa computadora para asegurarse de que todo esté bien.

Realmente solo hemos arañado la superficie aquí cuando se trata de monitoreo y seguridad de la red. Hay toneladas de herramientas y métodos específicos que los expertos usan para proteger sus redes, pero estos pasos funcionarán para usted si usted es el administrador de la red de su hogar y familia.

Eliminar los dispositivos sospechosos o las sanguijuelas en su red puede ser un proceso largo, que requiere investigación y vigilancia. Aún así, no estamos tratando de aumentar la paranoia. Lo más probable es que no encuentre nada fuera de lo común, y esas descargas lentas o velocidades de Wi-Fi desagradables son algo completamente diferente. Aun así, es bueno saber cómo sondear una red y qué hacer si encuentra algo desconocido. Solo recuerda usar tus poderes para el bien.