Un saludo a todos, espero me puedan ayudar con esta duda que tengo.
Desde hace unos 8 días me percate de la alerta de que se ha fallado X veces en el registro de acceso al modem, nadie debe tener acceso a la configuración del modem.
En la primera imagen se muestra el mensaje y en la segunda se muestra la hora del intento y los intentos.
Se considera que hubo un acceso no autorizado a la red y que alguien intento entrar a la configuración del modem, por ello es que se cambio la contraseña de acceso a la red WiFi y de acceso a la configuración del modem.
El primer intento fue el jueves pasado y el mismo jueves se realizó el cambio.
Viernes sin problema, sábado sin problema y el lunes se presenta nuevamente la situación y en la madrugada del lunes.
El mismo lunes se toma la decisión de desactivar la red WiFi y apagar todos los equipos que se dejan encendidos.
Resto de lunes, martes y jueves por la mañana sin problema pero el jueves por la noche se detecta de nuevo la misma situación pero a las 12:00 p.m. aproximadamente.
Se tomaran otras medidas pero me surgen las dudas pero para esto primero pongo lo que se tiene:
Servidor con Windows Server 2008 R2
Mismo servidor funciona como servidor DHCP
Mismo servidor tiene una aplicación que requiere del IIS activo.
Servidor con Endpoint Protection Server de Symantec con el firewall activado y algunas reglas aplicadas.
Modem no recuerdo el modelo pero es de fibra óptica.
DVR conectado al modem directamente y camaras al patch panel y de ahi al switch.
El modem no permite rastrear de que IP fue el acceso acceso y no guarda, o no lo he encontrado, un log de acceso para identificar la IP y la mac address.
La primera vez que me tocó detectarlo decía 3 intentos fallidos y los mismo decía el registro de eventos del modem, los otros dos que me tocó detectar decia 1 intento fallido pero en el registro de eventos se muestran 3.
Mis dudas son:
¿existe algún malware intente ingresar a la configuración del modem?
¿Cómo puedo identificar la o las IP's así como la o las mac address que entraron a la hora del intento fallido de acceso al modem?
¿Son accesos no autorizados o será algún malware o programa que lo haya
El primer evento que a mi me toco detectar también se identifico que a las mismas horar de visor de eventos del windows server registra un cambio en una política de seguridad pero no me dice cual.
Lo que mas me interesa saber es identificar la IP para saber si no es el mismo servidor el que lo esta provocando.
Espero puedan ayudarme, saludos.