Cómo detectar intrusos en tu red wifi

Más allá de las medidas de seguridad que implementemos en nuestras redes WiFi, estas son víctimas potenciales a ser invadidas por conexiones indeseadas que no solo consumirán nuestro ancho de banda, sino que también podrán acceder a nuestros archivos, por eso es mejor estar preparados ante este eventualidad con un script que monitoree nuestra red WiFi.

Hace un tiempo vimos cómo utilizar una herramienta llamada nmap para descubrir los puertos abiertos de una PC, laptop, teléfono o inclusive un router apenas especificando su dirección IP.

Esta misma herramienta permite, además, detectar las IPs de las PCs, laptops, teléfonos, routers o cualquier otra cosa que se haya conectado a tu red. Esto puede ser de gran utilidad, como es obvio, para detectar intrusos en tu red wifi.

Cómo detectar a los intrusos

1.- Instalar nmap. En Ubuntu y derivados, esto sería así:

sudo apt-get install nmap

Aquellos que usen otras distros encontrarán nmap en los repositorios oficiales, así que su instalación es bien sencilla. En el caso de Arch Linux, nmap se encuentra en los repositorios AUR.

2.- Ejecutar nmap

nmap -sP 192.168.100.1/24

…donde 192.168.100.1 es el IP de mi router.

Con este comando, le pedimos al nmap que nos muestre sólo (-sP) las IPs de los hosts conectados en la red, cabe mencionar que el .1 del final no importa ya que al mandarle la mascara de red /24 explorara 255-2=253 hosts posibles.

La salida va a ser algo parecido a esto:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-08-23 01:27 ART
Nmap scan report for 192.168.0.1
Host is up (0.0019s latency).
Nmap scan report for 192.168.0.102
Host is up (0.00037s latency).
Nmap done: 256 IP addresses (2 hosts up) scanned in 2.78 seconds

En mi caso, sólo se encuentran activos el router y mi laptop.

Si al hacer esto viésemos un host, con su número de IP correspondiente, que no reconocemos, es probable que estén utilizando nuestra red wifi sin nuestra autorización.

Script para que nos alerte cuando alguien se conecte

Franklin Aliaga tuvo la amabilidad de crear un script que automatiza la utilización de nmap para escanear tu red en busca de intrusos.

Los pasos a seguir son:

1.- Instalar las dependencias necesarias:

sudo apt-get install libnotify-bin nmap

2.- Crear el script.

sudo gedit alertared

y luego, pegamos el siguiente texto dentro del archivo recién creado:

#!/bin/bash
#script creado por: franklin aliaga
#si no tienes nmap digita sudo apt-get install nmap
#con este comnado de nmap nos muestra los hosts conectados
#y los guarda en un archivo *.txt

#script mejorado y actualizado por: microstudi (lector de tuxapuntes)

# Modifica esta linea a tu gusto si deseas guardar los temporales en otra ruta.

ARCHIVOS="$HOME/bin/hosts"

/usr/bin/nmap -sP 192.168.2.1/24 -oG $ARCHIVOS/hosts_ip.txt

#aqui cortamos el formato obtenido anteriormente de archivo para solo obtener las ip’s
#y mandarlo a otro archivo *.txt
cat $ARCHIVOS/hosts_ip.txt | grep Host | cut -c 7-20 | tr -d "()" > $ARCHIVOS/host_ip1.txt

#aqui capturamos el numero de lineas que tiene nuestro archivo
#en este caso la cantidad de ip’s que hay en el archivo
contador=$(wc -l $ARCHIVOS/host_ip1.txt | cut -c 1-2)

#aqui obtenemos la nuestra ip
ip=$(/sbin/ifconfig eth0 | grep "inet addr" | awk ‘{print $2}’ | cut -c 6-)
echo "Mi ip: $ip"
total=$(expr $contador – 1)

var=0

while [ $var -le $total ]; do
let var=$var+1
#capturamos la ip por linea
linea=$(cat $ARCHIVOS/host_ip1.txt | sed -n "$var p")
if [ $linea != "192.168.2.1" ]; then
if [ $linea != $ip ]; then
/usr/bin/notify-send "Conectado $linea"
#Para enterar-se por la consola también:
echo "Conectado $linea"
fi
fi
done

3.- Le damos permisos de ejecución:

sudo chmod +x alertared

4.- Finalmente, agregamos el script a crontab para que se ejecute cada tanto:

crontab -e

Y añadimos la linea:

*/3 * * * * /home/tu nombre de usuario/alertared