[uylug-varios] ataque o malfuncionamiento de router Wifi Belkin N 300

Haroldo Stenger haroldo.stenger at gmail.com
Mon Feb 18 07:38:34 PST 2013


hola,

hace un tiempo puse como Access Point un router Wifi Belkin N 300, con
WPA/WPK2 preshared-key.  Funcionó perfecto dos meses o más. Un buen día
empecé a notar tres cosas:


   1. que una de las máquinas de la LAN, la que tiene el NAT con el adsl,
   comenzaba a colgarse (es un debian viejo que necesita actualización).
   2. que el router Wifi Belkin N 300  negaba las solicitudes de conexión
   wifi, o las ignoraba, o estaba colgado. Si lo apagaba y lo prendía,
   empezaba a aceptar solicitudes de nuevo (pero como el dhcp está por dnsmasq
   en la antedicha máquina debian, si ésta a su vez estaba colgada, había que
   reiniciarla también.)
   3. que una máquina que estaba conectada al router Wifi Belkin N 300
   *por cable* perdía rendimiento en su conexión al resto de la LAN y
   consecuentemente en sus conexiones a internet saliendo por la entedicha
   máquina debia que oficia de router nateando.

Esto ocurría con cierta frecuencia, una o des veces por día, y con ciertas
prefferencias horarias, más bien sobre la última hora de la tarde, o de
noche.

Sospeché que estaba siendo objeto de algún ataque wifi al router Wifi
Belkin N 300  , digamos algún tipo de bot que intentaría autenticarse al AP
(es un AP privado, la idea no es publicarlo, menos viendo los efectos
negativos para mi LAN).

Apagué el router Wifi Belkin N 300  y lo quité de la LAN.

El antedicho debian viejo nunca más se cayó.

La hipótesis del ataque por wifi estaría entonces casi 100% confirmado; y
es así que me surjen las siguientes preguntas:

   1. ¿son tán lábiles estos aparatos que se dejan hacer un denial of
   service así como así por un ataque por brute force?
   2. ¿mediante qué "mecanismos" pueden afectar la LAN, introduciendo
   tráfico malicioso que hacen que un servidor caiga (sí ya sé que le falta
   mantenimiento y actualización, pero la pregunta es más para saber por dónde
   puede venir la piña)? ¿ARP flooding? ¿Efectivamente se lograron loguear, y
   bastaría con cambiar la clave? Igual esta última hipótesis deja abierta la
   pregunta: ¿por qué el atacante elije colgar máquinas o contaminar la LAN,
   en vez de simplemente usarla como salida a internet (supongamos el caso de
   un atacante "bueno"?
   3. ¿qué tipo de control de tráfico simple y práctico puedo implementar
   para enterarme del ataque y sus características en caso que se me antoje
   volver a conectar el router Wifi Belkin N 300  ? ¿puedo llegar a leer el
   cabezal de alguno de los paquetes maliciosos como para identificar al
   atacante?
   4. ¿actualizando el firmware del router Wifi Belkin N 300  de algún modo
   útil puedo hacerlo más duro a ataques? ¿o debo cambiar la estrategia de
   autenticaciónque le configuré? En ese caso, ¿a cual?

gracias

saludos
Haroldo
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20130218/5c2ec17d/attachment.htm>


More information about the Uylug-varios mailing list