Evil weekvienvenidos a EVIL week, nuestra inmersión anual en todos los hacks ligeramente incompletos que normalmente nos abstendríamos de recomendar. ¿Quieres meterte en bebidas gratis, jugar a juegos mentales elaborados, o, eh, lavar algo de dinero? Tenemos toda la información que necesita para ser desagradable con éxito., su red doméstica, y todo lo conectado a ella, es como una bóveda. Detrás de su inicio de sesión se encuentran toneladas de información valiosa, desde archivos sin cifrar que contienen datos personales hasta dispositivos que pueden ser secuestrados y utilizados para cualquier propósito. En esta publicación, le mostraremos cómo trazar su red, echar un vistazo bajo las portadas para ver quién está hablando con qué, y cómo descubrir los dispositivos o procesos que pueden estar absorbiendo el ancho de banda (o son invitados inesperados en su red).,
En resumen: Usted será capaz de reconocer las señales de que algo en la red está en peligro. Asumiremos que está familiarizado con algunos conceptos básicos de redes, como cómo encontrar la lista de dispositivos de su enrutador y qué es una dirección MAC. Si no, dirígete a nuestra escuela nocturna conoce tu red para repasar primero.
antes de ir más lejos, sin embargo, debemos emitir una advertencia: Use estos poderes para siempre, y solo ejecute estas herramientas y comandos en hardware o redes que posea o administre., A su amigable Departamento de TI de vecindario no le gustaría que escaneara o olfateara paquetes en la red corporativa, y tampoco a todas las personas en su cafetería local.
Paso uno: Haga un mapa de la red
incluso Antes de que usted inicie sesión en su equipo, escriba lo que usted piensa que usted sabe acerca de su red. Comience con una hoja de papel y anote todos sus dispositivos conectados., Eso incluye cosas como televisores inteligentes, altavoces inteligentes, computadoras portátiles y computadoras, tabletas y teléfonos, o cualquier otro dispositivo que pueda estar conectado a su red. Si ayuda, dibuja un mapa habitación por habitación de tu casa. Luego anota cada dispositivo y dónde vive. Es posible que se sorprenda por exactamente cuántos dispositivos se ha conectado a internet al mismo tiempo.,
Haga clic aquí para tener su mente alucinada
obtenga descuentos en vibradores, anillos y tecnología sexual de vanguardia ahora hasta el final de la semana.
Los administradores e ingenieros de red reconocerán este paso—es el primer paso para explorar cualquier red con la que no esté familiarizado., Haga un inventario de los dispositivos en él, identifíquelos y luego vea si la realidad coincide con lo que espera. Si (o cuando) no lo hace, podrá separar rápidamente lo que sabe de lo que no sabe.
Es posible que tenga la tentación de iniciar sesión en su enrutador y mirar su página de estado para ver qué está conectado, pero no lo haga todavía. A menos que puedas identificar todo en tu red por su dirección IP y MAC, solo obtendrás una gran lista de cosas, una que incluye a cualquier intruso o gorrón. Primero haz un inventario físico y luego pasa al digital.,
Paso dos: La sonda de la red para ver quién está en ella
una Vez que usted tiene un mapa físico de la red y una lista de todos tus dispositivos de confianza, es el momento de ir a cavar., Inicie sesión en su enrutador y verifique su lista de dispositivos conectados. Eso le dará una lista básica de nombres, direcciones IP y direcciones MAC. Recuerde, la lista de dispositivos de su enrutador puede o no mostrarle todo. Debería, pero algunos enrutadores le muestran solo los dispositivos que usan el enrutador para su dirección IP. De cualquier manera, mantenga esa lista a un lado—es bueno, pero queremos más información.
descargar e instalar Nmap
a continuación, vamos a recurrir a nuestro viejo amigo Nmap., Para aquellos que no están familiarizados, Nmap es una herramienta de escaneo de red multiplataforma y de código abierto que puede encontrar dispositivos en su red, junto con un montón de detalles en esos dispositivos. Puede ver el sistema operativo que están utilizando, las direcciones IP y MAC, e incluso los puertos y servicios abiertos. Descargue Nmap aquí, consulte estas guías de instalación para configurarlo y siga estas instrucciones para descubrir hosts en su red doméstica.,
Una opción es instalar y ejecutar Nmap desde la línea de comandos (si quieres una interfaz gráfica, Zenmap por lo general viene con el instalador). Escanee el rango de IP que está utilizando para su red doméstica. Esto descubrió la mayoría de los dispositivos activos en mi red doméstica, excluyendo algunos en los que tengo algo de seguridad mejorada (aunque también se pueden descubrir con algunos de los comandos de Nmap, que puedes encontrar en el enlace anterior).,
Comparar Nmap lista con el router de la lista
Usted debe ver lo mismo en ambas listas, salvo algo que usted escribió anteriormente se apaga ahora. Si ve algo en su enrutador que Nmap no apareció, intente usar Nmap contra esa dirección IP directamente.,
a Continuación, busque en la información Nmap encuentra sobre el dispositivo. Si pretende ser un Apple TV, probablemente no debería tener servicios como http en ejecución, por ejemplo. Si se ve extraño, sondearlo específicamente para obtener más información.
Nmap es una herramienta extremadamente poderosa, pero no es la más fácil de usar. Si eres un poco tímido, tienes otras opciones., Angry IP Scanner es otra utilidad multiplataforma que tiene una interfaz atractiva y fácil de usar que le dará mucha de la misma información. Wireless Network Watcher es una utilidad de Windows que escanea las redes inalámbricas a las que está conectado. Glasswire es otra gran opción que le notificará cuando los dispositivos se conectan o desconectan de su red.,
Paso Tres: curiosear y ver que todo el mundo está hablando
Por ahora, usted debe tener una lista de los dispositivos que usted conoce y confía, y una lista de dispositivos que han encontrado conectados a su red. Con suerte, habrás terminado aquí, y todo coincide o se explica por sí mismo (como un televisor que actualmente está apagado, por ejemplo).,
sin Embargo, si usted ve cualquier actores que no reconoce, servicios de ejecución que no se corresponden con el dispositivo (¿por Qué mi Roku ejecución de postgresql?), o algo más se siente fuera, es hora de hacer un poco de olfateo. Olfateando paquetes, eso es.
Cuando dos computadoras se comunican, ya sea en su red o a través de internet, se envían bits de información llamados «paquetes» entre sí., Juntos, esos paquetes crean flujos de datos complejos que conforman los videos que vemos o los documentos que descargamos. El olfateo de paquetes es el proceso de capturar y examinar esos bits de información para ver a dónde van y qué contienen.
Instalar Wireshark
Para ello, vamos a necesitar Wireshark. Es una herramienta de monitoreo de red multiplataforma que utilizamos para hacer un pequeño rastreo de paquetes en nuestra guía para rastrear contraseñas y cookies., En este caso, lo usaremos de una manera similar, pero nuestro objetivo no es capturar nada específico, solo monitorear qué tipos de tráfico están circulando por la red.
Para ello, tendrás que ejecutar Wireshark a través de wifi en «modo promiscuo.»Eso significa que no solo está buscando paquetes que se dirijan a o desde su computadora, sino que está fuera para recopilar cualquier paquete que pueda ver en su red.,
Siga estos pasos para configurar:
- Descargar e instalar Wireshark
- Seleccione su adaptador wifi.
- haga clic en capturar > opciones-y como se puede ver en el video de arriba (cortesía de la gente de Hak5), puede seleccionar «capturar todo en modo promiscuo» para ese adaptador.
Ahora puede iniciar la captura de paquetes. Cuando empieces la captura, obtendrás mucha información., Afortunadamente, Wireshark anticipa esto y hace que sea fácil de filtrar.
Ya que solo estamos mirando para ver lo que el sospechoso de los actores de la red están haciendo, asegúrese de que el sistema en cuestión está en línea. Siga adelante y capture el valor de unos minutos de tráfico., A continuación, puede filtrar ese tráfico en función de la dirección IP de ese dispositivo utilizando los filtros integrados de Wireshark.
hacer esto te da una vista rápida de con quién está hablando esa dirección IP y qué información están enviando de un lado a otro. Puede hacer clic derecho en cualquiera de esos paquetes para inspeccionarlo, seguir la conversación entre ambos extremos y filtrar toda la captura por IP o conversación. Para obtener más información, consulte las instrucciones detalladas de filtrado de Wireshark.,
Usted no puede saber lo que usted está buscando en la (aún)—pero que es donde un poco de detective que viene.
analizar la actividad incompleta
Si ve ese equipo sospechoso hablando con una dirección IP extraña, use el comando nslookup (en el símbolo del sistema en Windows, o en un terminal en OS X o Linux) para obtener su nombre de host. Eso puede decirle mucho sobre la ubicación o el tipo de red a la que se conecta su computadora., Wireshark también le indica los puertos que se están utilizando, por lo que Google el número de puerto y ver qué aplicaciones lo utilizan.
por ejemplo, Si usted tiene un ordenador conexión a un extraño nombre de host a través de los puertos a menudo se utiliza para el IRC o de transferencia de archivos, usted puede tener un intruso., Por supuesto, si descubre que el dispositivo se conecta a servicios de buena reputación a través de puertos de uso común para cosas como correo electrónico o HTTP/HTTPS, es posible que se haya topado con una tableta que su compañero de cuarto nunca le dijo que era de su propiedad, o alguien de al lado robando su wifi. De cualquier manera, tendrás los datos necesarios para averiguarlo por tu cuenta.,
Paso cuatro: Juega el juego largo y registro de las capturas
por supuesto, no todos los malos actor en la red en línea y gorrones de distancia, mientras que usted está buscando para ellos., Hasta este punto, se nos enseña cómo comprobar si hay dispositivos conectados, escanearlos para identificar quiénes son realmente, y luego olfatear un poco de su tráfico para asegurarse de que está todo claro. Sin embargo, ¿qué hacer si la computadora sospechosa está haciendo su trabajo sucio por la noche cuando estás durmiendo, o alguien leeching su wifi cuando estás en el trabajo todo el día y no alrededor para comprobar?
Use el software de monitoreo de red
hay un par de maneras de abordar esto. Una opción es usar un programa como Glasswire, que mencionamos anteriormente., Este software le avisará cuando alguien esté conectado a su red. Cuando te despiertas por la mañana o llegas a casa del trabajo, puedes ver lo que pasó mientras no estabas mirando.
Verificación de su enrutador de registro
Su siguiente opción es usar tu router capacidades de registro. Enterrada profundamente en la solución de problemas o las opciones de seguridad de su enrutador, generalmente hay una pestaña dedicada al registro., Cuánto puede registrar y qué tipo de información varía según el enrutador, pero las opciones pueden incluir IP entrante, número de puerto de destino, IP saliente o URL filtrada por el dispositivo en su red, dirección IP interna y su dirección MAC, y qué dispositivos en su red han registrado con el enrutador a través de DHCP para su dirección IP (y, por proxy, cuáles no lo han hecho.) Es bastante robusto, y cuanto más tiempo deje los registros en ejecución, más información podrá capturar.,
Custom firmware como el DD-WRT y Tomate (ambos de los cuales hemos mostrado cómo instalar) permiten controlar y registrar el ancho de banda de los dispositivos conectados y por el tiempo que usted desee, y puede, incluso el volcado de la información a un archivo de texto que usted puede tamizar a través de más tarde. Dependiendo de cómo haya configurado su enrutador, incluso puede enviarle por correo electrónico ese archivo regularmente o soltarlo en un disco duro externo o NAS.,
de cualquier manera, usar la función de registro a menudo ignorada de su enrutador es una excelente manera de ver si, por ejemplo, después de la medianoche y todos se han ido a la cama, su PC de juego comienza de repente a crujir y transmitir una gran cantidad de datos salientes, o tiene una sanguijuela normal a la que le gusta saltar a su wifi y comenzar a descargar torrents en horas impares.
Mantener Wireshark ejecutando
la última opción, y el tipo de la opción nuclear en la que, es solo dejar Wireshark captura por horas o días., No es inaudito, y muchos administradores de red lo hacen cuando realmente están analizando el comportamiento extraño de la red. Es una gran manera de identificar a los malos actores o dispositivos habladores. Sin embargo, requiere dejar una computadora encendida durante años, oler constantemente paquetes en su red, capturar todo lo que pasa a través de ella, y esos registros pueden ocupar un buen poco de espacio. Puede recortar las cosas filtrando las capturas por IP o tipo de tráfico, pero si no está seguro de lo que está buscando, tendrá una gran cantidad de datos para examinar cuando esté buscando una captura en unas pocas horas., Aún así, definitivamente te dirá todo lo que necesitas saber.
En todos estos casos, una vez que usted tiene suficiente de los datos registrados, usted será capaz de averiguar quién está utilizando su red, cuando, y si su dispositivo coincide con el mapa de la red que usted hizo antes.,
Paso Cinco: Bloqueo de la red hacia abajo
Si usted ha seguido a lo largo de aquí, que ha identificado los dispositivos que debe ser capaz de conectarse a la red de su casa, los que en realidad se conecta, identifica las diferencias, y es de esperar averiguado si hay malos actores, los dispositivos inesperados, o sanguijuelas colgar alrededor. Ahora todo lo que tienes que hacer es lidiar con ellos, y sorprendentemente, esa es la parte fácil.,
Wifi sanguijuelas va a obtener el arranque tan pronto como bloquear el router. Antes de hacer cualquier otra cosa, cambie la contraseña de su enrutador y desactive WPS si está activado. Si alguien ha logrado iniciar sesión directamente en su enrutador, no desea cambiar otras cosas solo para que inicien sesión y recuperen el acceso. Asegúrate de usar una contraseña buena y segura que sea difícil de usar por fuerza bruta.
a continuación, compruebe si hay actualizaciones de firmware., Si su sanguijuela ha hecho uso de un exploit o vulnerabilidad en el firmware de su router, esto los mantendrá fuera, suponiendo que el exploit haya sido parcheado, por supuesto. Finalmente, asegúrese de que su modo de seguridad inalámbrica esté configurado en WPA2 (porque WPA y WEP son muy fáciles de descifrar) y cambie su contraseña de wifi a otra contraseña buena y larga que no se pueda forzar brutalmente. Entonces, los únicos dispositivos que deberían ser capaces de volver a conectarse son aquellos a los que le das la nueva contraseña.,
Que debe tener cuidado de cualquier persona aprovechándose de su wifi y haciendo de todo su descarga en la red en vez de la suya. También ayudará con la seguridad por cable. Si puede, también debe tomar algunos pasos adicionales de seguridad inalámbrica, como desactivar la administración remota o deshabilitar UPnP.
Por malos actores en los ordenadores conectados en red, usted tiene algunas caza a hacer., Si en realidad es un dispositivo físico, debe tener una conexión directa con su enrutador. Empieza a rastrear cables y a hablar con tus compañeros de cuarto o familia para ver qué pasa. En el peor de los casos, siempre puede volver a iniciar sesión en su enrutador y bloquear por completo esa dirección IP sospechosa. El propietario de ese decodificador o computadora conectada silenciosamente vendrá corriendo bastante rápido cuando deje de funcionar.,
La mayor preocupación, sin embargo, es los equipos afectados. Un escritorio que ha sido secuestrado y unido a una botnet para la minería nocturna de Bitcoin, Por ejemplo, o una máquina infectada con malware que llama a casa y envía su información personal a quién sabe dónde, puede ser malo.,
una vez que limite su búsqueda a computadoras específicas, es hora de eliminar el problema en cada máquina. Si está realmente preocupado, tome el enfoque del ingeniero de seguridad para el problema: Una vez que sus máquinas son propiedad, ya no son confiables. Sóplelos, reinstálelos y restaure desde sus copias de seguridad. (Usted tiene copias de seguridad de sus datos, ¿no?) Solo asegúrese de mantener un ojo en su PC—no desea restaurar desde una copia de seguridad infectada y comenzar el proceso de nuevo.,
Si usted está dispuesto a arremangarse, usted puede agarrar a ti mismo un sólido utilidad antivirus y un anti-malware escáner bajo demanda (sí, usted necesitará los dos), y tratar de limpiar el equipo en cuestión. Si has visto tráfico para un tipo específico de aplicación, Mira a ver si no es malware o simplemente algo que alguien ha instalado que se está comportando mal. Sigue escaneando hasta que todo salga limpio, y sigue revisando el tráfico de esa computadora para asegurarte de que todo esté bien.,
sólo Hemos arañado la superficie de aquí cuando se trata de la red de vigilancia y seguridad. Hay un montón de herramientas y métodos específicos que los expertos utilizan para proteger sus redes, pero estos pasos funcionarán para usted si usted es el administrador de red para su hogar y familia.,
la erradicación de la sospechosa o dispositivos de sanguijuelas en la red puede ser un proceso largo, que requiere de detective y vigilancia. Aún así, no estamos tratando de provocar paranoia. Lo más probable es que no encuentres nada fuera de lo común, y esas descargas lentas o velocidades de WiFi de mierda son algo completamente diferente. Aun así, es bueno saber cómo sondear una red y qué hacer si encuentra algo desconocido. Sólo recuerda usar tus poderes para siempre.