Hola
Lo primero, ruego al moderador que si he colocado este hilo en lugar erróneo, me lo cambie, pero no me lo borre.
Tengo un router comtrend ct536+ con adsl de timofonica vomistar
El control de acceso que tengo configurado me ha dado ultimamente estos avisos:
Date/Time Facility Severity Message
Jan 1 00:00:19 user crit klogd: eth0 Link UP.
Jan 1 00:00:22 user crit klogd: ADSL G.992 started
Jan 1 00:00:24 user crit klogd: ADSL link down
Jan 1 00:00:53 user crit klogd: ADSL G.992 started
Jan 1 00:00:55 user crit klogd: ADSL link down
Jan 1 00:01:25 user crit klogd: ADSL G.992 started
Jan 1 00:01:27 user crit klogd: ADSL G.992 channel analysis
Jan 1 00:01:32 user crit klogd: ADSL G.992 message exchange
Jan 1 00:01:33 user crit klogd: ADSL link up, interleaved, us=
640, ds=6048
Jan 1 00:02:05 daemon crit pppd[430]: PPP server detected.
Jan 1 00:02:05 daemon crit pppd[430]: PPP session established.
Jan 1 00:02:05 daemon crit pppd[430]: PPP LCP UP.
Jan 1 00:02:06 daemon crit pppd[430]: Received valid IP
address from server.Connection UP.
Jan 21 16:51:23 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=58.218.199.147 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 DF PROTO=TCP SPT=12200 DPT=27977 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 21 18:11:46 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=125.22.0.112 DST=79.154.245.232 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=50184 PROTO=TCP SPT=22102 DPT=222 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 21 18:11:46 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=125.22.0.112 DST=79.154.245.232 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=50184 PROTO=TCP SPT=22102 DPT=222 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 21 19:06:09 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=221.1.220.149 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=256 DF PROTO=TCP SPT=12200 DPT=8085 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 21 19:06:09 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=221.1.220.149 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=256 DF PROTO=TCP SPT=12200 DPT=9415 WINDOW=8192 RES=0x00 SYN URGP=0
He geolocalizado las IPs del 21 de enero, pertenecen a China, India y Sevilla (79.154.245.232). Fijaros que todas las alertas tienen en común esta IP
Necesito que alguien me ayude a entender lo que leo:
1. klogd: ¿se trata de Telefonica?
2. pppd[430]: ¿se me ha conectado alquien por PPP?
3.- Daemon o user. ¿diferencia?. Creo saber lo que es un daemon en Unix, pero aquí no lo tengo tan claro, a menos que sea algo que hace telefónica.
4. ¿Han logrado meterse en mi router, sólo lo han intentado o qué?
Tengo la seguridad asi:
- router con clave de acceso cambiada por mi, larga y robusta
-baliza oculta
-lista blanca de direcciones MAC inalambricas
-Encriptación shared WEP 128, no puedo ponerle wpa porque estoy haciendo WDS con otro router idéntico (salvo firmware) que me amplia la cobertura
-Tengo abiertos los puertos del acceso remoto (virtual servers y port triggering) de windows y de emule (virtual servers)
¿qué medidas adicionales puedo tomar parqa reforzar la seguridad?
Veo un menú en el router Access Control Services, que me habla de servicios a nivel de LAN y de WAN: FTP, HTTP, ICMP, SNMP, SSH, TELNET, TFTP
Por defecto todos están activados en LAN y todos menos SSH y TFTP en WAN
¿puedo desactivar alguno más y a qué nivel sin que disminuyan prestaciones?
Os ruego que me déis cualquier consejo que se os ocurra para aumentar la seguridad, aparte de cambiar a WPA y cambiar la clave, que son muy obvios.
Gracias por adelantado
Lo primero, ruego al moderador que si he colocado este hilo en lugar erróneo, me lo cambie, pero no me lo borre.
Tengo un router comtrend ct536+ con adsl de timofonica vomistar
El control de acceso que tengo configurado me ha dado ultimamente estos avisos:
Date/Time Facility Severity Message
Jan 1 00:00:19 user crit klogd: eth0 Link UP.
Jan 1 00:00:22 user crit klogd: ADSL G.992 started
Jan 1 00:00:24 user crit klogd: ADSL link down
Jan 1 00:00:53 user crit klogd: ADSL G.992 started
Jan 1 00:00:55 user crit klogd: ADSL link down
Jan 1 00:01:25 user crit klogd: ADSL G.992 started
Jan 1 00:01:27 user crit klogd: ADSL G.992 channel analysis
Jan 1 00:01:32 user crit klogd: ADSL G.992 message exchange
Jan 1 00:01:33 user crit klogd: ADSL link up, interleaved, us=
640, ds=6048
Jan 1 00:02:05 daemon crit pppd[430]: PPP server detected.
Jan 1 00:02:05 daemon crit pppd[430]: PPP session established.
Jan 1 00:02:05 daemon crit pppd[430]: PPP LCP UP.
Jan 1 00:02:06 daemon crit pppd[430]: Received valid IP
address from server.Connection UP.
Jan 21 16:51:23 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=58.218.199.147 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 DF PROTO=TCP SPT=12200 DPT=27977 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 21 18:11:46 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=125.22.0.112 DST=79.154.245.232 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=50184 PROTO=TCP SPT=22102 DPT=222 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 21 18:11:46 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=125.22.0.112 DST=79.154.245.232 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=50184 PROTO=TCP SPT=22102 DPT=222 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 21 19:06:09 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=221.1.220.149 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=256 DF PROTO=TCP SPT=12200 DPT=8085 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 21 19:06:09 user alert klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=221.1.220.149 DST=79.154.245.232 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=256 DF PROTO=TCP SPT=12200 DPT=9415 WINDOW=8192 RES=0x00 SYN URGP=0
He geolocalizado las IPs del 21 de enero, pertenecen a China, India y Sevilla (79.154.245.232). Fijaros que todas las alertas tienen en común esta IP
Necesito que alguien me ayude a entender lo que leo:
1. klogd: ¿se trata de Telefonica?
2. pppd[430]: ¿se me ha conectado alquien por PPP?
3.- Daemon o user. ¿diferencia?. Creo saber lo que es un daemon en Unix, pero aquí no lo tengo tan claro, a menos que sea algo que hace telefónica.
4. ¿Han logrado meterse en mi router, sólo lo han intentado o qué?
Tengo la seguridad asi:
- router con clave de acceso cambiada por mi, larga y robusta
-baliza oculta
-lista blanca de direcciones MAC inalambricas
-Encriptación shared WEP 128, no puedo ponerle wpa porque estoy haciendo WDS con otro router idéntico (salvo firmware) que me amplia la cobertura
-Tengo abiertos los puertos del acceso remoto (virtual servers y port triggering) de windows y de emule (virtual servers)
¿qué medidas adicionales puedo tomar parqa reforzar la seguridad?
Veo un menú en el router Access Control Services, que me habla de servicios a nivel de LAN y de WAN: FTP, HTTP, ICMP, SNMP, SSH, TELNET, TFTP
Por defecto todos están activados en LAN y todos menos SSH y TFTP en WAN
¿puedo desactivar alguno más y a qué nivel sin que disminuyan prestaciones?
Os ruego que me déis cualquier consejo que se os ocurra para aumentar la seguridad, aparte de cambiar a WPA y cambiar la clave, que son muy obvios.
Gracias por adelantado
