[uylug-varios] ataque o malfuncionamiento de router Wifi Belkin N 300
Haroldo Stenger
haroldo.stenger at gmail.com
Mon Feb 18 07:38:34 PST 2013
hola,
hace un tiempo puse como Access Point un router Wifi Belkin N 300, con
WPA/WPK2 preshared-key. Funcionó perfecto dos meses o más. Un buen día
empecé a notar tres cosas:
1. que una de las máquinas de la LAN, la que tiene el NAT con el adsl,
comenzaba a colgarse (es un debian viejo que necesita actualización).
2. que el router Wifi Belkin N 300 negaba las solicitudes de conexión
wifi, o las ignoraba, o estaba colgado. Si lo apagaba y lo prendía,
empezaba a aceptar solicitudes de nuevo (pero como el dhcp está por dnsmasq
en la antedicha máquina debian, si ésta a su vez estaba colgada, había que
reiniciarla también.)
3. que una máquina que estaba conectada al router Wifi Belkin N 300
*por cable* perdía rendimiento en su conexión al resto de la LAN y
consecuentemente en sus conexiones a internet saliendo por la entedicha
máquina debia que oficia de router nateando.
Esto ocurría con cierta frecuencia, una o des veces por día, y con ciertas
prefferencias horarias, más bien sobre la última hora de la tarde, o de
noche.
Sospeché que estaba siendo objeto de algún ataque wifi al router Wifi
Belkin N 300 , digamos algún tipo de bot que intentaría autenticarse al AP
(es un AP privado, la idea no es publicarlo, menos viendo los efectos
negativos para mi LAN).
Apagué el router Wifi Belkin N 300 y lo quité de la LAN.
El antedicho debian viejo nunca más se cayó.
La hipótesis del ataque por wifi estaría entonces casi 100% confirmado; y
es así que me surjen las siguientes preguntas:
1. ¿son tán lábiles estos aparatos que se dejan hacer un denial of
service así como así por un ataque por brute force?
2. ¿mediante qué "mecanismos" pueden afectar la LAN, introduciendo
tráfico malicioso que hacen que un servidor caiga (sí ya sé que le falta
mantenimiento y actualización, pero la pregunta es más para saber por dónde
puede venir la piña)? ¿ARP flooding? ¿Efectivamente se lograron loguear, y
bastaría con cambiar la clave? Igual esta última hipótesis deja abierta la
pregunta: ¿por qué el atacante elije colgar máquinas o contaminar la LAN,
en vez de simplemente usarla como salida a internet (supongamos el caso de
un atacante "bueno"?
3. ¿qué tipo de control de tráfico simple y práctico puedo implementar
para enterarme del ataque y sus características en caso que se me antoje
volver a conectar el router Wifi Belkin N 300 ? ¿puedo llegar a leer el
cabezal de alguno de los paquetes maliciosos como para identificar al
atacante?
4. ¿actualizando el firmware del router Wifi Belkin N 300 de algún modo
útil puedo hacerlo más duro a ataques? ¿o debo cambiar la estrategia de
autenticaciónque le configuré? En ese caso, ¿a cual?
gracias
saludos
Haroldo
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20130218/5c2ec17d/attachment.htm>
More information about the Uylug-varios
mailing list