Si un intruso obtuvo acceso a una red suplantando la dirección MAC y el nombre del dispositivo para que aparezca como un dispositivo familiar en la red, ¿cómo es posible detectarlo en los registros del enrutador? ¿Puede el enrutador ver el fabricante de su tarjeta u otra información que los piratas informáticos no pueden cambiar? Sé que falsificar completamente la identidad de un dispositivo es imposible, corríjame si me equivoco.
Las direcciones MAC, las direcciones IP y los nombres de host DHCP no son controles de seguridad. Todos esos pueden ser falsificados. También puedo hacer que mi pila TCP / IP se vea como cualquier sistema operativo disponible, exactamente las mismas firmas que las herramientas como nmap y p0f pueden usar para configurar mi pila de red.
Una frase de contraseña WPA2 sólida es el único control de seguridad de red inalámbrica efectivo que ofrecen la mayoría de los enrutadores de consumo. (Y dado que está utilizando el término "enrutador" para un dispositivo al que se conecta su cliente, supongo que se refiere a un enrutador inalámbrico de consumo).
En general, no hay nada registrado en un enrutador para el consumidor que le permita detectar un dispositivo malicioso que se hace pasar por un dispositivo legítimo.
Puede intentar identificar el sistema operativo utilizando la huella digital de paquetes.
Por ejemplo, si su host normal es Windows y el atacante está usando Linux, puede detectar el cambio en el sistema operativo. La única condición es que el host remoto envíe al menos un paquete durante el proceso de toma de huellas dactilares.
Puede realizar tales huellas digitales con nmap, por ejemplo:
nmap -O ipaddr