Intrusiones en Router Mitrastar B_23, el log del router no muestra las intrusiones

Jesus.H. · ‎14-04-2016

Despues de notar un funcionamiento bastante sospechoso en mi ordenador y mi router busque en la red la manera de acceder al telnet de este router y utilizar el dmseg del sistema linus dentro del router...mi sorpresa es que dmesg muestra estos mensajes

Intrusion -> IN=ppp100 OUT= MAC= src=106.185.41.68 DST=81.43.230.118 LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=54321 PROTO=TCP SPT=60616 DPT=111 WINDOW=65535 RES=0x00 SYN URGP=0
Intrusion -> IN=ppp100 OUT= MAC= src=114.215.151.210 DST=81.43.230.118 LEN=40 TOS=0x00 PREC=0x00 TTL=111 ID=256 PROTO=TCP SPT=14849 DPT=3389 WINDOW=16384 RES=0x00 SYN URGP=0
Intrusion -> IN=ppp100 OUT= MAC= src=115.231.222.40 DST=81.43.230.118 LEN=40 TOS=0x00 PREC=0x00 TTL=109 ID=256 PROTO=TCP SPT=64316 DPT=8080 WINDOW=15500 RES=0x00 SYN URGP=0

que ni siquiera aparecen en el log del router, algo interesante, esto deshabilitando toda la configuracion de acceso remoto y despues de reiniciar el router a sus valores de fabrica.

Estos mensajes aparecen justo despues de que haya habido un intento de acceso desde la WAN al puerto 23, el cual si que aparece en el log del router en la interfaz web.

Alguien puede decirme si este router tiene alguna vulnerabilidad que no conozca?.

JuanC-Movistar · ‎14-04-2016

Buenos dias, eso que te muestra el comando son intentos de acceso a puertos determinados pero precisamente te aparecen ahí porque han sido rechazados y por eso te aparecen las excepciones. Concretamente:

Intento 1 -> Una IP de Japon, comprueba el puerto 111, el router no reconoce el acceso y muestra la excepcion, la rechaza.

intento 2 -> Una IP de China comprueba el puerto del escritorio remoto 3389 y lo mismo.

intento 3 -> Una IP de China comprueba el puerto 8080 y lo mismo.

Para ver quien está conectado haz un arp -a y verás los equipos con la IP y la direccion MAC asociada.

Saludos.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Jesus.H. · ‎14-04-2016

Hola Juan-C, no entiendo lo que dices, si en la configuracion del router tengo establecido un registro de todo el comportamiento del firewall y del router, el modo debug, y este muestra los drops de los intentos de acceso al router, ¿porque esos mensajes de Intrusion no aparecen en el log?

En los mensajes que postee en mi primer mensaje se ve que los accesos son a puertos que no estan dentro del Remote Management, pero he visto que esos mensajes de Intrusion también van destinados al puerto 22 y puerto 23 y el router no los añade al log como que hayan sido del tipo RemoteManagement, directamente aparecen en el dmesg como Intrusion.

Dichos puertos estan dentro del Remote Management el cual está deshabilitado, si alguien intenta acceder al router por dicho puerto aparece un mensaje como este :

RemoteManagement: Action=DROP Unsecured Client Access Deny IN=ppp100 OUT= MAC= src=115.215.50.131 DST=88.11.114.163 LEN=
60 TOS=0x00 PREC=0x00 TTL=50 ID=31944 DF PROTO=TCP SPT=19671 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0

En dicho mensaje se puede ver que el router toma una acción, lo dropea y aparece directamente en el log del router que puede ser visto por medio de interfaz web del router o por medio de algun programa de syslog que reciba los paquetes desde el router.

Muy distinto es en los mensajes de Intrusion, como este que ha ocurrido hace unos momentos:

Intrusion -> IN=ppp100 OUT= MAC= src=69.12.91.62 DST=88.11.114.163 LEN=40 TOS=0x00 PREC=0x00 TTL=109 ID=256 PROTO=TCP SP
T=48153 DPT=3389 WINDOW=16384 RES=0x00 SYN URGP=0

En dicho mensaje no aparece la acción tomada por el router, si lo ha rechazado (Reject), o si lo ha ignorado sin enviar mensaje de rechazo (Drop), asi que por que no aparecen dichos mensajes en el log del router?

Por otro lado, el router no muestra la tabla de enrutamiento que esta establecida desde la opción de Current Route en la interfaz Web del router.

JuanC-Movistar · ‎14-04-2016

Lo que digo es que hay máquinas por internet que se dedican a probar puertos buscando vulnerabilidades y hacen comprobaciones de puertos pero en realidad no es una intrusión.

En el primer log si tienes un intento de entrada por el puerto 23 y el router lo rechaza con lo cual funciona correctamente. En el otro que pones han probado el puerto 3389 pero no hay intento de intrusión y por tanto el router no tiene nada que rechazar.

Saludos.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

JuanC-Movistar · ‎18-04-2016

No he vuelto a tener noticias tuyas y entiendo que ha quedado aclarada la duda que tenías, cierro el hilo sabiendo que por aquí nos tienes para lo que necesites.

Saludos.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Soporte Fibra y ADSL

Intrusiones en Router Mitrastar B_23, el log del router no muestra las intrusiones