Posible Acceso no autorizado a la red y accesos fallidos al modem

Iniciado por Platanito Mx, 11 Agosto 2016, 15:28 PM

0 Miembros y 2 Visitantes están viendo este tema.

Platanito Mx

Un saludo a todos, espero me puedan ayudar con esta duda que tengo.

Desde hace unos 8 días me percate de la alerta de que se ha fallado X veces en el registro de acceso al modem, nadie debe tener acceso a la configuración del modem.

En la primera imagen se muestra el mensaje y en la segunda se muestra la hora del intento y los intentos.




Se considera que hubo un acceso no autorizado a la red y que alguien intento entrar a la configuración del modem, por ello es que se cambio la contraseña de acceso a la red WiFi y de acceso a la configuración del modem.

El primer intento fue el jueves pasado y el mismo jueves se realizó el cambio.
Viernes sin problema, sábado sin problema y el lunes se presenta nuevamente la situación y en la madrugada del lunes.
El mismo lunes se toma la decisión de desactivar la red WiFi y apagar todos los equipos que se dejan encendidos.
Resto de lunes, martes y jueves por la mañana sin problema pero el jueves por la noche se detecta de nuevo la misma situación pero a las 12:00 p.m. aproximadamente.
Se tomaran otras medidas pero me surgen las dudas pero para esto primero pongo lo que se tiene:

Servidor con Windows Server 2008 R2
Mismo servidor funciona como servidor DHCP
Mismo servidor tiene una aplicación que requiere del IIS activo.
Servidor con Endpoint Protection Server de Symantec con el firewall activado y algunas reglas aplicadas.
Modem no recuerdo el modelo pero es de fibra óptica.
DVR conectado al modem directamente y camaras al patch panel y de ahi al switch.

El modem no permite rastrear de que IP fue el acceso acceso y no guarda, o no lo he encontrado, un log de acceso para identificar la IP y la mac address.
La primera vez que me tocó detectarlo decía 3 intentos fallidos y los mismo decía el registro de eventos del modem, los otros dos que me tocó detectar decia 1 intento fallido pero en el registro de eventos se muestran 3.

Mis dudas son:
¿existe algún malware intente ingresar a la configuración del modem?
¿Cómo puedo identificar la o las IP's así como la o las mac address que entraron a la hora del intento fallido de acceso al modem?
¿Son accesos no autorizados o será algún malware o programa que lo haya

El primer evento que a mi me toco detectar también se identifico que a las mismas horar de visor de eventos del windows server registra un cambio en una política de seguridad pero no me dice cual.

Lo que mas me interesa saber es identificar la IP para saber si no es el mismo servidor el que lo esta provocando.

Espero puedan ayudarme, saludos.

[Arg] $triker;

(No tengo experiencia, puede ser que esté diciendo cualquier cosa)

¿Los de la calle que intentan robar señal inalámbrica? xD
¿Ataque de fuerza bruta?

Si el módem no puede registrar las IPs que intentan acceder a él, entonces no creo que puedas. El día que ese supuesto atacante logre entrar a la red registraría su IP para ponerlo en algún tipo de blacklist o algo así.

¿Un filtrado MAC no te serviría?

Lamento no poder ayudarte en serio... todavía me encuentro aprendiendo.
8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--

Platanito Mx

Cita de: EagleStrike en 11 Agosto 2016, 19:31 PM
(No tengo experiencia, puede ser que esté diciendo cualquier cosa)

¿Los de la calle que intentan robar señal inalámbrica? xD
Antes dejaban algunos equipos conectados y no sé si la intrusión fue por WiFi o por la nube, se cree que es por WiFi
¿Ataque de fuerza bruta?
La contraseña de acceso a la red WiFi es WPA2 y era la de fabrica por lo que ¿pues qué te puedo decir? lol

Si el módem no puede registrar las IPs que intentan acceder a él, entonces no creo que puedas. El día que ese supuesto atacante logre entrar a la red registraría su IP para ponerlo en algún tipo de blacklist o algo así. Lo que se cree es que si logro entrar a la red y es por ello que pudo lograr intentar loguearse a la configurar del WiFi

¿Un filtrado MAC no te serviría?
Es parte de lo que se va a hacer como prevención y que si tardó 1 minuto en entrar tarde 2 minutos

Lamento no poder ayudarte en serio... todavía me encuentro aprendiendo.
ntp gracias por tu post

3rik 3l rojo

Supongo que cambiando el firmware del router ya podrías monitorizar las ip quite Sr conectan
8Noobs - Más que una comunidad; una familia.
www.telegram.me/proyecto8NOOBS