Resultados 1 al 6 de 6

Nombre de pc clonado en red...

  1. #1 Nombre de pc clonado en red... 
    Medio
    Fecha de ingreso
    Jul 2006
    Mensajes
    76
    Descargas
    5
    Uploads
    0
    hola...
    Tengo un problema con un equipo de la empresa en que trabajo.
    a pesar de que mi oficio es la mecanica, soy la persona que mas entiende de informatica ahí ya que he realizado algunos cursitos de ensamble y mantenimiento de pc y por eso me han asignado la parte que tiene que ver con la seguridad de la red, por algunos problemas que han surgido por conecciones no deseadas por parte de algunos individuos.
    para evitar estas conecciones, he cambiado la clave wifi, he realizado un filtrado de mac, y diariamente rebiso el historial de clientes en el modem.
    el problema es que uno de los pc, me aparece dos veces, con una direccion ip y una mac distinta.
    ej:

    pc________ ip __________ mac
    pc-carlos - 192.168.1.50 - 00:ab:cd:ef:12:12 mac real
    pc-mario - 192.168.1.51 - rf:gt:uh:45:47:47
    pc-carlos - 192.168.1.55 - 00:12:lk:54:78:77 mac no conocida
    pc-maria - 192.168.1.60 - 00:11:22:33:44:55

    al realizar un ping a ambas ips todas dos me responden, y si apago pc-carlos con la mac que conozco y realizo un ping al otro me responde por un momento y después deja de responder también.

    alguien podría decirme a que puede deberse esto?
    es posible que sea una mala configuración, o puedo tener un intruso....

    si es un intruso y tengo el filtrado por mac, la conección se está ralizando de forma fisica?

    gracias
    @riel es el dominio de la razón y los buenos sentimientos sobre los bajos estímulos de la irracionalidad
    Citar  
     

  2. #2  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    ¿Podrías dar más detalles sobre la arquitectura de red, detalles técnicos y configuración?

    Por ejemplo,

    ¿Qué cifrado se está utilizando, WEP, WPA, WPA2?
    ¿Cuál es el modelo de router/modem?
    ¿Dispone de la opción WPK?
    En caso afirmativo, está activada?
    ¿Cómo tienes configurado el filtrado mac? ¿Permisivo o restrictivo? Es decir, "Dejo pasar únicamente a aquellos dispositivos cuya MAC esté en la lista" (restrictivo) o bien, "Pueden pasar todos los dispositivos, salvo los que indique en la lista (permisivo)"

    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  3. #3  
    Medio
    Fecha de ingreso
    Jul 2006
    Mensajes
    76
    Descargas
    5
    Uploads
    0
    hola hystd
    el modem es un zte zxv10 w300
    el cifrado es wpa2-psk
    no QSS
    el filtrado mac es permisivo, solamente permite la mac de la lista (esto lo verifique utilizando un pc con la clave correcta y al darle conectar no se lo permite, osea que esta bien.)
    me confunde un poco el hecho de que al encontrar el nombre duplicado, cambie nuevamente la clave, y rectifique las mac que pertenecen a la empresa, y media hora después nuevamente estaba duplicado el mismo nombre y apareció con la misma mac falsa.
    comprobé nuevamente el listado mac y no ha sido agregada...
    gracias por tu respuesta.
    @riel es el dominio de la razón y los buenos sentimientos sobre los bajos estímulos de la irracionalidad
    Citar  
     

  4. #4  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Puede haber ocurrido algunas de las siguientes cosas:

    1. Haya habido intrusión. El atacante ha suplantado su MAC por una que está en el listado de MAC permitidas (MAC Spoofing).

    2. Haya habido intrusión. El atacante ha accedido a la configuración del router por alguno de los siguientes métodos:
    2.1. Aprovechando alguna vulnerabilidad del router (ver vulnerabilidad CVE-2014-0329, por la que un atacante podría acceder remotamente a la configuración del router via telnet), y haya añadido su MAC como una MAC permitida.
    2.2 Haya accedido a la red, via WPS (el modelo de tu router lo tiene, y sólo tendría que averiguar el PIN), y por tanto, sin necesidad de conocer la clave de tu wifi, se haya logado. La diferencia entre descifrar (y digo descifrar, no "obtener"), la clave en WPA2 y obtener el PIN en WPS varía de bastantes horas (en función de la complejidad de la clave), a unos pocos minutos con el sistema WPS. Una vez logado, el atacante podría cambiar la configuración a su antojo, e incluso borrar cualquier rastro tras su conexión (Un rastro que no estás viendo).

    ¿Eres consciente de que esas MAC permitidas en la configuración del router son las que deben ser y no hay alguna que no deba estar ahí?

    3. No ha habido intrusión y es posible que el usuario "pc-carlos" esté utilizando alguna máquina virtual en su equipo.

    4. No ha habido intrusión. El log de tu router ha conservado registros antiguos. En su día "pc-carlos" utilizó la MAC primera, y posteriormente (por el motivo que sea), "pc-carlos" ha empezado a utilizar otra MAC ¿se le ha cambiado a "pc-carlos" el NIC (tarjeta o interfaz de red)?.

    Pueden haber más escenarios, y en caso de intrusión, para estos escenarios se requeriría más elaboración por parte del atacante... Es decir, si ha habido intrusión, alguien se está tomando muchas molestías para coneguir acceso, y a saber, desde simplemente diversión o hacer PoC's, hasta espionaje...

    Revisa lo que te comento.

    En caso negativo, habría que empezar a monitorizar la actividad. Instalar algún IDS, o para empezar, comenzar a sniffar la red y ver qué actividad hay cuando ocurren estas conexiones "extrañas".

    Un saludo.
    Última edición por hystd; 29-12-2014 a las 03:02
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  5. #5  
    Medio
    Fecha de ingreso
    Jul 2006
    Mensajes
    76
    Descargas
    5
    Uploads
    0
    gracias hystd...
    contesto a cada una de las posibilidades según lo que entiendo.

    1. Haya habido intrusión. El atacante ha suplantado su MAC por una que está en el listado de MAC permitidas (MAC Spoofing)
    //creo que esta opción que seria la mas lógica no puede ser ya que en el historial de conexiones al modem aparece el mismo nombre del pc pero una mac diferente.(el ejemplo de historial de conexiones lo muestra en rojo y azul.) si sucediera esto creo que el modem lo mas que haría sería asignarle una ip distinta pero al ser clonada mostraría la misma mac.


    2. Haya habido intrusión. El atacante ha accedido a la configuración del router por alguno de los siguientes métodos:

    2.1. Aprovechando alguna vulnerabilidad del router (ver vulnerabilidad CVE-2014-0329, por la que un atacante podría acceder remotamente a la configuración del router via telnet), y haya añadido su MAC como una MAC permitida
    //no se si esto solucione el problema, por medio de telnet he cambiado tanto el nombre del home que normalmente es ZTE y el syspassword sola mente se podría entrar a el por medio del user normal reseteandolo, pero esto eliminaría mi contraseña personalizada y no he tenido problemas con ella.


    2.2 Haya accedido a la red, via WPS (el modelo de tu router lo tiene, y sólo tendría que averiguar el PIN), y por tanto, sin necesidad de conocer la clave de tu wifi, se haya logado. La diferencia entre descifrar (y digo descifrar, no "obtener"), la clave en WPA2 y obtener el PIN en WPS varía de bastantes horas (en función de la complejidad de la clave), a unos pocos minutos con el sistema WPS. Una vez logado, el atacante podría cambiar la configuración a su antojo, e incluso borrar cualquier rastro tras su conexión (Un rastro que no estás viendo).
    //el modelo que se utiliza en mi país no posee wps (no QSS) conozco el método para ingresar vía pin sin permiso, pero te aseguro que en este modem no es posible.(aunque tiene el mismo nombre creo que es un modelo diferente al que te refieres) las primeras imágenes muestran a cual me refiero ( https://www.google.com.co/search?q=m...2F%3B448%3B299 )

    ¿Eres consciente de que esas MAC permitidas en la configuración del router son las que deben ser y no hay alguna que no deba estar ahí?
    //claro, realmente por wifi se conectan el equipo de mi jefe, una secretaria, mi pc y tres celulares a los cuales he dado permiso verificando antes de que no se conectan aunque tengan la clave correcta (esto está de más pero lo hago solo por probar si tengo algún problema con el filtrado) los demás pc se conectan por cable.

    3. No ha habido intrusión y es posible que el usuario "pc-carlos" esté utilizando alguna máquina virtual en su equipo.
    //yo mismo instale windows 7 en el pc, no se le han agregado mas programas que los que yo instale, y entre esos no existe ninguna maquina virtual.

    4. No ha habido intrusión. El log de tu router ha conservado registros antiguos. En su día "pc-carlos" utilizó la MAC primera, y posteriormente (por el motivo que sea), "pc-carlos" ha empezado a utilizar otra MAC ¿se le ha cambiado a "pc-carlos" el NIC (tarjeta o interfaz de red)?.
    //esta parte me suena, tendré que verificar si la conexión en algún momento se ha realizado vía cable y luego vía wifi.(si al realizar el pin a ambas ip me contestan al encender el pc creo que es posible que por algún motivo la conexión se este realizando doble... real mente no se si al tener una conexión wifi y conectar el cable la primera se desactive automáticamente o quede funcionando, podría ser una respuesta a esto, mañana lunes verificaré que mac me muestra por wifi y cual me muestra por cable para ver si este es el problema y verificaré si al conectarse por wifi no ha conectado el cable también...)

    Pueden haber más escenarios, y en caso de intrusión, para estos escenarios se requeriría más elaboración por parte del atacante... Es decir, si ha habido intrusión, alguien se está tomando muchas molestías para coneguir acceso, y a saber, desde simplemente diversión o hacer PoC's, hasta espionaje...
    //mi temor realmente es el espionaje, ya que un ex-trabajador devolvió un portátil con un programa espía instalado pero no creo que sea muy ágil ya que actuó de forma muy ingenua y me di cuenta inmediatamente con solo ver los posesos abiertos. también nos han enviado varios programitas empacados con nombre de cobro jurídico... igual ninguno le a cuajado jjjj

    confirmo la parte de la doble coneccion y te informo.
    ojalá ese sea el problema.
    gracias de nuevo....
    @riel es el dominio de la razón y los buenos sentimientos sobre los bajos estímulos de la irracionalidad
    Citar  
     

  6. #6  
    Medio
    Fecha de ingreso
    Jul 2006
    Mensajes
    76
    Descargas
    5
    Uploads
    0
    hola....
    Lamento mucho la demora para responder como me había ido con tu ayuda hystd.
    estuve un poco ocupado es te fin de año tomando cerveza y otras cositas que me distrajeron un poco...
    conecte el pc por cable y compare la mac, luego hice una conexión por wifi y ambas mac me coinciden con las 2 que me estaban apareciendo.
    como tu dices , se trata de el mismo pc y el historial en el router muestra dos adaptadores de red distintos, el cableado y el wifi.
    gracias....
    @riel es el dominio de la razón y los buenos sentimientos sobre los bajos estímulos de la irracionalidad
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 18-08-2015, 13:46
  2. Hash de disco de mayor tamaño que clonado
    Por alberto666 en el foro INGENIERIA INVERSA
    Respuestas: 0
    Último mensaje: 17-12-2013, 19:24
  3. nombre de pc
    Por h4k3m4t3 en el foro WINDOWS
    Respuestas: 11
    Último mensaje: 18-06-2007, 19:00
  4. Ayuda contra telefono telmex al parecer clonado
    Por cave en el foro EMULADORES TELEFONICOS
    Respuestas: 1
    Último mensaje: 02-05-2004, 04:59
  5. Nacimiento del primer humano clonado
    Por banuelos en el foro HACK HiSPANO
    Respuestas: 0
    Último mensaje: 15-07-2002, 10:27

Marcadores

Marcadores