En varias ocasiones nos interesa saber si algún intruso está utilizando nuestra conexión inalambrica, (Wireless o WI-FI) sin permiso, ya que, aunque es un concepto sencillo, no es fácil averiguarlo sin las herramientas necesarias.

Cosas como acceder al router para examinar los logs o tabla de conexiones DHCP (en el caso de que se esté usando) son acciones demasiado complejas (o imposible) para usuarios sin conocimiento informático avanzado.

Para ello, existe un programa útil y sencillo, llamado Wireless Watch (descarga), con el cuál podrás detectar en todo momento cuando un usuario está haciendo uso de tu conexión WIFI (detecta también conexiones tradicionales, no sólo inalámbricas).

A pesar de utilizar un filtro de seguridad para direcciones MAC, claves o contraseñas WEP (inseguras pero a veces necesarias porque son la única alternativa compatible), contraseñas WPA, WPA2, RADIUS u otras se pueden realizar accesos, y este programa los detecta, informa e incluso mantiene un registro estadístico de la actividad en la red de los distintos usuarios.

El programa es prácticamente automático y muy sencillo, no necesita configuración. Al instalarlo y ejecutarlo, después de hacer una búsqueda previa de usuarios activos en la red, nos aparecerá un panel donde podemos diferenciar varias zonas importantes:

• Zona izquierda: Un panel con las tareas posibles a realizar: iniciar/detener búsqueda, generar un informe de accesos y vulnerabilidades (¡sencillo, pero profesional!), cambiar opciones, editar usuarios detectados y otras tareas.
• Zona central: La parte principal del programa. En ella veremos dos menús que incorporan los usuarios detectados en la red. En Conectados permanecen los usuarios que están utilizando ahora mismo la red (Router siempre debe aparecer, es el aparato que utilizamos para conectar a internet) y en No conectados los usuarios que han accedido a la red pero ahora mismo están desconectados.
• Zona derecha: Basicamente, se trata de un detallado informe de los usuarios que seleccionemos, donde aparece la dirección IP, la dirección fisica (MAC), cuanto tiempo estuvo conectado, un gráfico de horas conectado a la red, etc.

El programa realiza varias busquedas cada cierto tiempo para detectar nuevos usuarios conectados a la red. En el caso de detectar alguno (o seleccionar la tarea Editar Visitante seleccionando uno de la lista central) nos encontraremos con una ventana similar a la siguiente:

En ella nos informa de algunos datos (IP, MAC, fabricante, etc...) y la posibilidad de marcar este visitante con uno de los siguientes 3 estados:

• Friend: Conocido. Marcaremos como Friend los visitantes detectados que no son intrusos (el router, un posible portatil o PDA nuestra, etc...). Representado con un icono verde.
• Foe: Intruso. Marcaremos así a los visitantes que sepamos seguro que no forman parte de nuestra red (potenciales enemigos). Se representa con un icono rojo.
• Unknown: Desconocido. Realmente no sabemos si se trata de un intruso o no, asi que lo marcaremos como desconocido con un icono amarillo.

Wireless Watch no es un programa gratuito, si quieres buscar un programa similar (pero más sencillo y gratuito) tienes Look at host. ¿Conoces algun programa similar? ¿Alguna alternativa para Linux? Cuentanos tus experiencias con Wireless Watch en los comentarios.

Ayer, hablando con el venerable Ruyk acerca de técnicas de seguridad para SSH salió a la luz una práctica de seguridad que no conocía, el Port-knocking.

Para situarnos en esta técnica debemos pensar en la necesidad de un control remoto, un acceso desde fuera de nuestro equipo que a veces podemos requerir para corregir algún suceso inesperado, activar o desactivar aplicaciones, descargar algún archivo o cientos de acciones diferentes.

Para ello, lo más común y simple es abrir el acceso desde un determinado puerto a nuestro equipo y protegerlo con un password, siempre teniendo en cuenta como se debe elegir una contraseña.

Asumiendo que tengamos una contraseña "dificil" de romper, al día se descubren miles de vulnerabilidades, denegaciones de servicio, escaladas de privilegio y tantos otros problemas que podrían dejar a nuestro equipo unos segundos fatídicos para la seguridad de nuestros datos.

Aquí es donde entra la técnica del Port-Knocking. Con ella tenemos un firewall establecido de manera que nadie (ni nosotros mismos!) pueda acceder al sistema. En el ejemplo posterior, vemos como un supuesto atacante (88.35.21.31) intenta acceder por varios puertos (21, 23 y 22) sin éxito alguno.

Totalmente inútil sería esta táctica si no hubiera una manera de que nosotros podamos entrar:

El Port-knocking se basa en realizar varios intentos de conexión consecutivos (y previamente establecidos) a ciertos puertos para «avisar» al sistema de que realmente somos nosotros.

Asi pues, en el ejemplo que muestro tenemos configurado el knockd (demonio encargado del port-knocking) para que al recibir los intentos de conexión en el puerto 2199 y 9123, se abra el firewall para nuestra IP en el puerto 22. ¿Brillante, verdad? Una sencilla forma de proteger nuestro sistema y hacer prácticamente imposible de ingresar.

Finalmente también podría hacerse posible otra combinación para volver a cerrar el acceso o alargar la combinación de puertos (a 5 intentos de conexión por ejemplo). Tener en cuenta que, en el remoto caso de que un usuario consiguiera adivinar la combinación de puertos aún tendría que enfrentarse a una contraseña.

En linuca comentan más sobre como implementar el port knocking en un sistema linux.