¿Qué peligro puede causar el acceso breve de LAN a mi enrutador?

3

Hoy, alguien afirmó ser un técnico de mi ISP y encargarse de los problemas de conexión en nuestro bloque. Entró en mi apartamento y brevemente (~ 3 s) conectó una pequeña caja (del tamaño de una frambuesa PI) con algunos LED al puerto LAN de mi enrutador que decía que hacía algunas mediciones.

Después de eso, comenzó a hacer preguntas sobre cuánta gente vive allí y cuál es mi ocupación e ingreso. En este punto, me di cuenta de que él estaba comprobando si el apartamento vale un robo. Me encargué de esa amenaza.

Sin embargo, ¿se puede poner en peligro mi enrutador? Después de todo, esas son máquinas Linux predeterminadas que probablemente tengan algunos puertos abiertos.

Editar: cambié las contraseñas que el enrutador me ofreció cambiar: WiFi y la página de configuración accesible por navegador. No cambié nada que requiera un conocimiento profundo.

    
pregunta Zsolt Szilagy 07.12.2016 - 22:30
fuente

3 respuestas

3

Es difícil decirlo sin saber exactamente lo que se hizo, pero si es un enrutador de punto de acceso inalámbrico con un botón WPS, me preocuparía que el intruso usara el botón WPS para autorizar a su dispositivo a conectarse a su red inalámbrica. sentado en su automóvil en la siguiente calle fuera de su línea de visión con un dispositivo conectado a su red. Ahora el intruso puede tomarse mucho tiempo para detectar vulnerabilidades en todos sus dispositivos, etc.

Además, su uso compartido de archivos de Windows y, por lo general, está completamente habilitado en su red interna, y uno no suele pensar demasiado en los permisos de compartir y archivar, ya que no es accesible para nadie excepto para usted y los miembros de su hogar ... .. si el atacante tiene un dispositivo en su red interna, puede agarrar sus archivos si no están bien protegidos.

Tal vez él también haya ingresado a la página de administración de su enrutador (la mayoría de las personas lo dejan con las contraseñas predeterminadas, nuevamente confiando en el hecho de que solo las personas de confianza dentro del hogar podrían llegar a la página). Una vez en la configuración de administrador de su enrutador, es probable que reconfigure su servidor DHCP para entregar la dirección del servidor DNS a sus dispositivos, lo que apunta a un servidor DNS que el atacante ha levantado para redirigir el acceso a sitios reales como gmail, facebook, etc. que le envían a sitios falsos que se parecen a la página de inicio de sesión de esos sitios pero las credenciales que ingresa se capturan y se envían al atacante.

Es probable que también reconfigure su firewall para permitir que ingrese desde la Internet pública a su red interna.

Estos son solo algunos pensamientos de lo que esta persona podría haber estado haciendo. Miraría muy de cerca todos los dispositivos conectados a su red y verificaría cada uno de ellos, y lo comprobaría con mucha frecuencia para ver si aparece algo más. Verifique todas sus configuraciones para ver si algo cambió, prestando especial atención a las direcciones DNS y sus reglas de firewall. Cambiaría la contraseña del router y el SSID y los secretos de WIFI.

    
respondido por el Thomas Carlisle 08.12.2016 - 01:45
fuente
1

tal vez el cuadro parpadeante era solo una distracción.

Tal vez no. Tal vez la caja estaba previamente programada para hacer algo malicioso.

3 s es realmente mucho tiempo para una computadora.

En ese momento, definitivamente obtuvo una impresión de las direcciones IP utilizadas (ya sea por DHCP o simplemente detectando una solicitud ARP o un par de docenas de ellas), muy probablemente pudo determinar la dirección IP pública y privada de su enrutador, y obtenga una visión general de las máquinas de tipo PC activas en su red (asumiendo que todavía son muy ruidosas). Habrá sido tiempo suficiente para abrir un puerto usando UPnP en el interior y llamar a algún servidor a casa para que ese servidor sepa "dónde has estado".

No respondiste claramente a la pregunta de si tu enrutador tenía contraseñas predeterminadas cuando la persona conectó su caja. Si lo hizo, sí, podría haber sido comprometido. Ignoraría a las personas que dicen que necesitan esperar segundos para que se carguen las páginas de administración de su enrutador. No conozco su enrutador, por lo que podría a) no ser tan lento en primer lugar, b) tener una administración interfaz asegurada con la misma contraseña que es mucho más rápida para interactuar y c) para hacer algo con la interfaz, no tiene que esperar hasta que todas las páginas de inicio de sesión se hayan cargado por completo si sabe qué URL necesita cargar con qué parámetros .

Ahora, las contraseñas predeterminadas no son tan útiles si el atacante no conoce el tipo de dispositivo que tiene. Pero, nuevamente, 3s es bastante largo, y eso sería suficiente para averiguar qué dispositivo usas y luego probar las credenciales predeterminadas. Además, es posible que haya habido conocimiento previo: la mayoría de las personas solo tienen el enrutador que les proporciona su ISP, y es bastante fácil adivinar el ISP de la gente (o puede leerlo desde su dirección IP pública, y nuevamente, 3s es un tiempo largo si estamos bien preparados).

Lo que se puede decir acerca de las credenciales predeterminadas también se aplica a los problemas de seguridad no parcheados de los enrutadores. Personalmente me conecté a las LAN de más de un enrutador donde la interfaz web era realmente tan defectuosa, filtró información de configuración que podría usarse para obtener acceso en la LAN, incluso si no tenía las credenciales.

Y, todo lo que digo aquí también se aplica a los otros dispositivos en la red. Tal vez el atacante no estaba en absoluto detrás del enrutador, sino después de las máquinas Windows con agujeros de seguridad, lo que podría ser muy útil, por ejemplo. como servidores de contenido ilegal.

Ahora, la gente hoy en día parece preferir obtener máquinas / redes víctimas con mucho menos riesgo, simplemente enviando malware, esperando que uno de cada diez mil (¿millones?) correos electrónicos conduzca a una infección, creando una red de bots.

Por lo tanto, personalmente consideraría que tu red fue atacada, pero es un poco dudoso cuál sería la superficie de ataque. Por lo tanto, trataría de no ser demasiado paranoico al respecto. Es decir, a menos que tenga una preocupación razonable (¡no una teoría de conspiración!) De que alguien tenga suficiente interés político / financiero / de inteligencia en obtener acceso a sus computadoras, por ejemplo, para filtrar secretos de su empleador, que confía en usted y su computadora portátil, para enviar a alguien a correr el riesgo de presentarse en persona! Ahora, alguien que haya sido contratado para hacerlo probablemente no tendría que preguntar acerca de cuánto ingreso tiene, cuántas personas viven en su hogar, etc.

Sin embargo, restaurar la configuración de fábrica en su enrutador, actualizar una imagen de firmware limpia (o simplemente comprar una nueva, si tiene una barata), establecer nuevas contraseñas separadas e indiscutibles para el acceso al enrutador y WiFi, escanear toda su red. máquinas para virus y tener el doble de cuidado que pronto alguien intenta convencerte de que entregues dinero o algo similar basado en "secretos" que, por ejemplo, solo la oficina de impuestos o su empleador deberían tener (pero un atacante podría haber accedido a su computadora) seguramente no sería demasiado cauteloso. Buena suerte!

    
respondido por el Marcus Müller 08.12.2016 - 02:33
fuente
1

Es extraño que permitas que alguien entre a tu casa y le conecte algo a la red LAN.
Generalmente, el ISP no necesita ingresar a su LAN para descubrir problemas de conectividad. Ven bastante desde fuera: DNS, MAC, reglas nat. Y puede corregirlo en su borde, sin necesidad de revisar nada. En algunos casos, el ISP afirma que usa su equipo DSL o PON, pero en este caso pueden ver su configuración desde el exterior.
Por lo tanto, tu situación es sospechosa

  1. Obtenga la red LAN, restablezca el enrutador y cambie la configuración: verifique la sección de reenvío de puertos, el mantenimiento (debe ser solo de acceso LAN), la configuración nat y, lo que es más importante, la dirección del servidor DNS (básicamente, el ISP establece la dirección DNS a través de DHCP).
  2. En el caso de una contraseña predeterminada o no en las máquinas locales, el cuadro podría ser un tipo de espía que inyecta computadoras LAN para que actúen como parte de alguna red de bots.

¿Qué hacer?

  1. Inicie sesión en su enrutador y reinícielo a Factory. El restablecimiento es necesario de todos modos para asegurarse de que la tabla ARP es correcta.
  2. Verifique el registro DNS y configúrelo como sugiere el ISP.
  3. Cambiar la contraseña de administrador del enrutador para que sea más complicado.
  4. Deshabilite los permisos de inicio de sesión de raíz ssh en sus hosts de Linux y nopasswd sudo para todos los usuarios.
  5. Compre cualquier enrutador simple y colóquelo entre el puerto WAN posiblemente comprometido y el ISP. Aislará su red. El registro puede mostrar si hay algún ataque.
respondido por el ETech 08.12.2016 - 03:29
fuente

Lea otras preguntas en las etiquetas