¿Cómo debo responder a un cliente no reconocido en mis registros DHCP?

4

Encontré un nombre de host extraño en mi archivo dhcpd.leases y me pregunto qué pasos debo seguir para responder.

Tengo una red doméstica simple: mi módem está enchufado a un enrutador que ejecuta OpenBSD 6.0, y una computadora portátil y un enrutador Netgear antiguo en modo WAP están conectados al enrutador. (El enrutador también tiene una tarjeta de red inalámbrica que ha estado en modo host con un conjunto de claves WPA y sin antenas físicas conectadas, por lo que debería haber sido tanto segura como invisible).

En las últimas 24 horas, noté que mi WAP se comportaba de forma extraña. Se emite en las bandas de 2.4 GHz y 5 GHz (ambas protegidas por contraseña), y aunque puedo iniciar sesión como de costumbre con el SSID de 2.4 GHz, el SSID de 5 GHz rechazó constantemente mi contraseña ingresada correctamente. Apagué físicamente mi WAP y lo encendí de nuevo, y todo comenzó a funcionar normalmente de nuevo. Empecé a hurgar en mi enrutador y descubrí algo extraño en /var/db/dhcpd.leases. Hubo un contrato de arrendamiento listado para un nombre de host desconocido, otorgado hace un par de días. El nombre de host era legible por humanos y no googleable - algo como "DESKTOP-F00BAR". La dirección MAC indica que es una máquina Asus, y no tengo ningún dispositivo Asus corriendo en mi casa.

Para mis ojos ingenuos, parece que he sufrido una intrusión en la red inalámbrica, aunque sea de apariencia benigna, pero no tengo idea de cómo podría haber ocurrido o qué hacer a continuación. He buscado en mis registros pero no he encontrado nada relevante. ¿Cuál es el curso de acción apropiado en esta situación? ¿Es posible que mi dispositivo Netgear esté en el fritz y de alguna manera deje la red abierta por algún tiempo? ¿Hay alguna otra vulnerabilidad potencial obvia que estoy pasando por alto? Me disculpo por la imprecisión de esta pregunta, pero parece que debo hacer algo , pero realmente no sé cómo proceder.

    
pregunta Ben 12.04.2017 - 05:12
fuente

3 respuestas

0

Resulta que esto era una falsa alarma. La dirección MAC en realidad provenía de un escritorio antiguo que había conectado brevemente y olvidado.

    
respondido por el Ben 13.04.2017 - 03:25
fuente
3

Puede aprovechar arpwatch para notificarle el segundo que transmite en su red de nuevo y también use una herramienta como Wireshark para capturar el tráfico y ver a qué se está comunicando el dispositivo (a veces también funciona el registro de consultas DNS) . A veces, los dispositivos de IoT como termostatos, juguetes, equipos o incluso ciertos sistemas operativos llamarán a casa regularmente para buscar actualizaciones. Esto puede ayudarlo a determinar qué tipo de dispositivo es este y facilitar su localización.

Alternativamente, puede obtener una antena direccional y una herramienta como Kismet la próxima vez que el dispositivo esté en línea e intente ubicarlo mediante la intensidad de la señal.

    
respondido por el Trey Blalock 12.04.2017 - 05:30
fuente
2

Recomendaría cambiar la contraseña de la página de administración de su enrutador junto con las contraseñas inalámbricas. Podría ser un poco molesto ya que tiene que volver a conectar cualquier dispositivo inalámbrico, pero dependiendo de la complejidad de la contraseña inalámbrica original, alguien podría haber capturado el protocolo de enlace WPA y descifrar la contraseña. Si tiene WPS habilitado en el enrutador, también recomendaría deshabilitarlo.

    
respondido por el Miguel 12.04.2017 - 13:57
fuente

Lea otras preguntas en las etiquetas