Foro de elhacker.net

Tengo un vecino aburrido que sospecho que es un lammer adolescente y que he pillado ya en un par de ocasiones usando mi red.  Antes tenía activado el DHCP y podía comprobar accedía pero ahora sin el DHCP desconozco si hay manera de saberlo. ¿Alguno puede darme pistas para seguir "googleando"?

Tengo activado el filtrado MAC, WPA2 y deshabilitado el DHCP como he dicho, pero el problema es que veo tráfico sospechoso permanentemente al monitorizar las señales de mi comunidad y creo que es este vecino que no para de lanzar ataques a todas las wifis del vecindario.

No me preocupa un robo esporádico de ancho de banda pero si que se meta en otras cosas a nivel de escritorio a base de lamer en foros.

Disculpadme que este sea mi primer post tras dos años siguiendo el foro. Pero no he tenido ocasión de poder aportar por mis excasos conocimientos.
Un Saludo y unas cervecitas.

mm.. pues primero puedes revisar en tu router los clientes autentificados para saber si esta entrando (o intentado) en tu red wifi, pero ya con las configuraciones que dices que aplicaste ningún lamer lograra entrar ni siquiera en tu red mucho menos en tu sistema, solo asegúrate de tener un buen password (wifi)

Buenas:

1.- Deshabilita el WPS de tu router

Si tienes WPA puesta por tí y ha entrado a tu router es muy problable que sea por el WPS (reaver) o bien que haya un bug en el modelo de tu router y debas actualizar el firm.

Y de paso, pásate un buen "antibichos" no sea que alguna vez te haya metido algun regalito.

Un saludo

ChimoC

P.D.: Si no tienes WPS, si no tiene bugs tu router, si no tienes una WPA puesta de fábrica y tu vecino te sigue entrando .... entonces hazle reverencias  >:D >:D

Gracias por las respuestas pero quizás no me he expresado bien.

Con esta configuración no tengo constancia de que acceda actualmente a mi red, y es eso lo que necesito, poder rastrear accesos sin tener DHCP habilitado que es como antes lo pillaba.
Entiendo que si obtuviera la pass WPA y usara la mac de un cliente habilitado tendría acceso y yo no podría distinguirlo de los equipos de mi red.

Muchas gracias por vuestras respuestas.

PD. Sobre el WPS mi router debe ser antiguo que no tiene, lo más parecido es el WDS y lo tengo desabilitado, de hecho lo usaba antes del ultimo acceso para conectarlo con un deco de TDT al que le tenia otro router viejo a modo de tarjeta de red. :-)

Si usas una buena contraseña con wpa será IMPOSIBLE! que la consiga, pero me refiero a una buen! contraseña.

Algo con números, letras, y símbolos

algo como: "17@pac$co"  usa una contraseña así y de ninguna forma entrará!

Saludos.

Cambia el rango de IP's privadas, porque si desactivaste el DHCP pero todo sigue teniendo su misma IP y el " se acuerda":. pues puede que siga entrando (más a allá de la contraseña).. :P

Ej: Tenias 192.168.0.x, pasalo a 192.168.1.x y así :P

Tengo todo eso que me comentáis, contraseña adecuada, rango de ips no habituales, no tengo WPS... pero mi pregunta es si existe alguna técnica "forense" para ver si se ha introducido alguien a la red a través de router.
O es que no la hay y solo queda confiar con todas esas medidas en que nadie las superará...¿?

Si, pero tienes que pasar tiempo analizando con airodump / wireshark en alguna distro linux con live-cd :P

Pues si, entras en la configuración web de tu router y miras la lista de clientes autentificados, si ves una maquina "nueva"/"desconocida" ahí está, o como dice raul338 puedes dedicarte a ver lo que ocurre en el aire con algún sniffer.

Pero como dices que tienes todas estas configuraciones ya puedes olvidarte por completo del tema y seguir con tu vida por que el muchachillo no podrá entrar ;)

El problema es que con el DHCP deshabilitado no me registra nuevos clientes y aun así, al tener el filtrado MAC imagino que adoptaría una MAC clonada y una IP del rango.
Gracias de todos modos. Continuaré investigando con whireshark y san Google.

Gracias seguiré investigando. No hay nada como seguir dándole uso a un portatil Acer de mas de 10 años con Backtrack y Wifislax.

La otra forma que veo es que la mayoría de los routers, aparte de tener la pestañita de DHCP, también tiene una pestañita de ARP. Ahí estarán los ARP y su estado de los ordenadores conectados.
Pero solo te vendrán las MAC, y si el estado es "complete". Apúntate la de tus equipos, y mira de vez en cuando esa tabla

Desde luego desconectar DHCP no impide que se pueda configurar la red manualmente y seguir entrando, tambien es posible que el intruso, tras monitorizar la red, utilize una MAC clonada, incluso puede haber entrado al la configuracion del router y añadir una MAC definida por él, (yo lo haría).

Pienso que la manera mas rápida de averiguar quien está en la red en un momento dado es con nmap, si utilizas nmap -O -Pn 192.168.1.0/24 rtendras una vision bastante rápida.
Tambien con Wireshark, aunque puede llegar a ser mas cansino..

Utiliza WPA/WPA2
cambia la clave por defecto
desconecta WPS
filtra las MAC
cambia la contraseña de configuracion del router
y oculta SSID.

Si el router te lo permite limita el número de IPs máximas al número real de equipos conectados-

si tanto te interesa que tu vecino no haga nada, quita el filtrado mac y la wpa2 y coloca algo que él pueda "hackear", y lo pongo en comillas porque me refiero a que lo pueda lamer xD, en fin, suponiendo que sea el único lamer, será el único ocioso en tu vecindad que podrá entrar mientras tu router tenga wep, una vez hecho eso, como es un lamer que sigue tutoriales de google sin investigar ni pensar en aprender, mientras te este crackeando la wifi veras o su mac real o la típica 00:11:22:33:44:55, entonces esperas a que se conecte, no creo que se le pase por la cabeza que en windows tiene que cambiar la mac también para no ser detectado, en fin... el punto es conseguir que se conecte, luego puedes subir a wpa2 con filtrado mac y la misma clave, pero procura ejercer un control del ancho de banda desde el router, al menos en mi tp-link se puede, y le colocas 1kb de subida y 1 de bajada a la ip que le debes de asignar y a la mac de su tarjeta, si el tipo es un lamer adolescente de seguro tardará buen tiempo en darse cuenta de que tiene que usar la mac de alguien mas para evadir la restricción y que también tiene que cambiarla en windows, también le puedes bloquear algunos puertos como el 80 (web), 21(ftp)...saludos