Analisis ADSL/WIFI - Tengo un Host en mi red y no se quien es [NMAP]

Iniciado por BabilonX, 20 Mayo 2012, 23:55 PM

0 Miembros y 1 Visitante están viendo este tema.

BabilonX

Hola gente.

Este es mi primer mensaje en este foro, es vez tengo un duda existencial acerca de un elemento desconocido en mi red hogareña. Acudo a ustedes porque se que aqui hay mucha gente con amplios conocimientos tecnicos.

Vivo Zona oeste de Gran Buenos Aires, y se me presento una duda para lo cual no pude encontrar respuestas en mi conocimiento o buscando en Google porque sinceramente no se como encararla.

Hoy conecte mi notebook a mi red hogareña wifi (windows 7) para descubrir que mi no tenia internet a pesar que mi hno en su otra PC si tenia (estaba jugando a Counter Strike). Hasta alli todo bien, un problema comun, nada de otro mundo. Soy tecnico y analista, no es problema investigarlo y arreglarlo.... Pero:

Chequeo la conectividad de Windows 7, windows indica que no hay conexión con internet a pesar de estar conectado a mi router (tiene password y WPA2)
Tengo IP Asignada por mi router ADSL ya que la estructura de red en mi casa es la siguiente:


PC Escritorio ------[cable UTP]------------------------|
                                                                        |
                                                                        |
                                                                Linksys 120n
   NOTEBOOK -  -  -  - -  -  -   WIFI - - - - - -  modo router
                                            /                  192.168.1.2 (fija)
                                           /                   seguridad WPA2
                                         /                                 |
   Iphone - - - - - - - - - - - /                                             |
                                                                 Modem ADSL
                                                                192.168.1.1 (fija)
                                                               Kozumi, modo PPOE
                                                            DHCP server activo
                                                             rango 192.168.1.1-255
                                                                       |
                                                                       |
                                                                   linea telefonica
                                                              de mi proovedor telefonico

And WFT? porque no tengo internet?
Hago un nslookup consultando google.com a mi gateway (osea el modem)
respuesta no valida, no contesta.

Ping a mi modem (192.168.1.1) Ping ok.....

Entro por el navegador a mi modem, http://192.168.1.1
Pagina de configuracion de un MODEM ZTE sin password.

En mi casa no hay ningun equipo ZTE, y definitivamente me estaba conectando a el cuando intentaba conectarme a mi modem KOZUMI hogareño.

Haciendo un poco de investigacion, veo que es un ZTE mod ZXDSL831
controlo y definitivamente es un modem ADSL , al verificar las opciones.
Veo ademas que tiene configuradas en ADVANCED --> WAN ---> Connection
varias conexiones en modo BRIDGE en diferentes VPI/VCI, pero ninguna en modo PPOE. Esto me parecio extraño.

Decidi hacer un scaneo a mi subnet para verificar la presencia de otros hosts usando NMAP. Solo encontre mi pc de escritorio, mi iphone (que tiene wifi activo), mi notebook, el router Linksys y el modem (con 192.168.1.1).

Efectivamente, el modem respondia, pero un comprensive scan muestra que su MAC address era de ZTE y no el KOZUMI.

Un mode ZTE estaba suplantando en mi red al KOZUMI?
Como puede ser posible? Dentro de la interfaz web del ZTE verifique una opcion que permitia activar el DHCP.. estaba desactivado. Definitivamente la ip que tenia asignada en mi notebook era proporcianada por el MODEM KOZUMI.

La pregunta es, es posible que apesar que mi modem ADSL este en modo PPOE de alguna forma este en modo BRIDGE y me permita acceder a un modem que esta del lado de mi ISP? lo extraño de este modem es que tiene configuradas varias conexiones en MODO BRIDGE con varios VCP/VPI diferentes.... Alguien podria decirme porque puedo acceder? Copio una captura de este extraño modem ZTE.

Una aclaracion que hacer es.. reinicie todo PC de escriotorio, Iphone, Modem, router, y notebook. Sigue apareciendo en esa ip ese modem, y mi notebook no tiene conectividad contra internet (evidentemente este modem esta impidiendo que me comunique con mi KOZUMI).

Desde la PC de escritorio todo parece normal, se puede navegar y no se puede acceder al modem ZTE que desde mi notebook si es posible ver en 192.168.1.1.

Saludos!



HdM

Buenas.

¿Seguro que estás conectando a tu wifi? ¿Has probado a apagar el linksys y el kozumi y ver si sigues conectado? Si es así, entonces lo que está sucediendo es que con tu netbook, estás conectando a una wifi que no es la tuya (la de tu linksys). El ZTE ZXDSL831 (este router no es wifi, ¿no?), tendrá conectado un AP (o algún equipo haciendo de AP), que es al que estás conectando y que te está suministrando la IP por DHCP.

Prueba a cambiar el SSID de tu red, junto con el pass de acceso y WPA2. Elimina de tu netbook la configuración de red wifi actual y vuelve a crear la asociación con el linksys.

Podría tratarse de una simple confusión o bien, es posible que hayan creado un "Rogue AP" para intentar un MITM. Si fuera así, lo veo algo cutre, al menos podían darte acceso a inet.  :xD

Saludos.

- Nice to see you again -