Robo de red

Robo de red

Hola a todos!

Este es mi primer mensaje aquí, espero explicarme como es debido y si alguno sabe como solucionar mi problema.

Hace más o menos un mes, detecté que el tráfico de la red me iba muy lento(tengo 30Mb) sin estar descargando nada, comprobé el router y vi que tenía un equipo ajeno conectado a mi red (tengo WPA-PSK[TKIP] + WPA2-PSK[AES] con letras, números y símbolos). Copie su MAC, y lo metí en la lista de no permitidos. Cambié las claves de acceso al router y a la red y se acabó, o eso creía yo.

A la semana siguiente, otra vez durante el fin de semana, otra vez ralentización, visita al router y un nuevo equipo conectado; otra vez la misma operación de la semana anterior. Mi sorpresa fué cuando durante el fin de semana siguiente, descubrí que tenía conectado a mi router un equipo con una MAC que estaba en mi lista de no permitidos, es más, intenté ponerlo de nuevo en la lista y me decía que ya estaba y no se podía repetir. Estuve buceando entre diferentes foros, entre ellos este mismo y leí que si el DHCP debe estar desactivado y poner las ips manuales,....

Así que eso hice, configuré tanto los dos equipos como los dos móviles que se conectan a mi red con una ip fija, puse en mi router que tan sólo esos cuatro dispositivos estaban permitidos, y desactive DHCP.

Hasta ahí todo bien, ayer no tuve problemas (utilizo el Wireless Network Watcher para que me avise si hay una conexión), pero esta tarde, al ojear la lista de dispositivos conectados, me he encontrado con que el nombre de uno de los dos equipos, en lugar de su nombre original tenía como etiqueta 'WORKGROUP', como si estuviese utilizando el equipo de trabajo de la red para entrar a través de uno de los equipos. He eliminado el equipo de trabajo, he cambiado el nombre del equipo por defecto y he desactivado la conexión por escritorio remoto por si acaso iban por ahí los tiros. He cambiado de nuevo claves y, durante 10 minutos el equipo tenía el nombre original pero, pasado ese tiempo aparecía en la etiqueta el nombre del equipo de trabajo que yo había modificado.

Ahora, la pregunta que me hago es, ¿¿¿por donde se me están colando??? Si alguien me puede echar una mano en este tema le agradecería enormemente su ayuda. Aunque me parece a mí que la persona que está haciendo esto sabe muy bien lo que hace. De todos modos, gracias de antemano.

Saludos.

Pues yo creo que tienes un TOPO, RATA o como dicen los Colombiamos un SAPO.

Porque no cualquiera rompe una encryptacion AES y es tardado..

Ponle una clave fuerte al WI-FI con letras y numeros por ejemplo: "T0po-Rat4-Z@p0o!!" ...... jajajaja.

Tambien clave fuerte a la clave para acceder a la interfaz del administracion del router...

Pero como te digo que es alguien interno tal vez este usando algun programita para sacar la clave almacenada en la compu que esta legitimamente conectada por Wi-FI.


Porque si realmente tienes una clave fuerte, el cifrado AES, Filtraste MACs, inclusive deshabilitaste el DHCP,,, y burlo todas estas trabas es alguien sumamente EXPERTO y merece MIS RESPETOS...jejejjeje

Gracias por la info, parece ser que se utilizaba el reaver para sacar la clave ya que mi router tenía el pin de WPS activado, lo he deshabilitado y he vuelto a modificar todo y parece que el router, sobre todo en fin de semana, no tiene tanto tráfico como antes.

Ahora la duda que tengo es, si se hacía pasar por uno de los equipos conectados, ya que eran los únicos habilitados para acceder al router, ¿cómo puedo monitorizar sus posibles acciones?. Tengo la aplicación WireShark y, aunque todavía estoy desentrañando como sacarle jugo, me pregunto como podré diferenciar las tramas del equipo legítimo y las del clonado, ya que comparten la misma IP.

Como ya comenté me dí cuenta de casualidad, porque el programa chivato(WnetWatcher) que utilizo mostraba el device name como 'WORKGROUP' y no con su nombre legítimo. Ahora, al deshabilitar la vista de la red, el programa chivato ya no me muestra ningún nombre y, por tanto, ya no puedo ver si se me han colado o no.

Agradecería cualquier indicación que me pudiéseis dar al respecto. Gracias por la ayuda.

Que bueno que ya resolviste tu problematica.. Ahora sin WPS la clave fuerte que le pongas con encriptacion WPA2-AES creeme que sera muy dificil para alguien acceder ya que los ataques de diccionario son muy tardados, y por lo tanto nuestra clave debe ser una mezcla de cosas,,, y los ataques de fuerza bruta pueden tardar inclusive semanas o meses si no es que en algun punto apagan el modem.....

Que si por las noches no lo utilizas te recomiendo, al menos por un tiempo, que lo apagues asi si el atacante esta intentando dejar correr un ataque de fuerza bruta lo desanimaras bastante.

Pues la Ip se puede clonar y la MAC tambien, asi que esta canijo.

El siguiente link es de un programa que encontre buscando en san google parece que cumple con lo que necesita solo ejecutarlo en modo compatibilidad con WinXp SP2..

http://airsnare.softonic.com/

Animo.