He hecho una auditoría,pero no entiendo una cosa de esta red

editado agosto 2016 en Seguridad Wireless
Buenas.
Antes de nada, debo resaltar que el mótivo por el cual he hecho esto y por el que estoy haciendo el post es UNICAMENTE para aprender. en ningun momento quiero hacer ninguna actividad que comprometa o perjudique a nadie.

El caso, es el siguiente:

Al lado de mi casa, hay un local donde dan internet público. y tienen internet inalambrico también aparte de conexión por cable desde dentro del local.
Yo actualmente estoy aprendiendo un poco de redes por mi cuenta, con lo que me metí a la red pública; a ver qué podía ver, a curiosear y aprender nada más.

Cuando me conecté, lo primero de que me percaté son los datos que me asignaba el DHCP.
Sufijo DNS específico para la conexión. . :
Dirección IPv4. . . . . . . . . . . . . . : 192.168.76.12
Máscara de subred . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . : 192.168.76.1

Pregunta 1: ¿Por qué la ip es .76.12 y no 0.12, por ejemplo? suupongo que seguramente así este configurado, y si asi es, por qué esta configurado así. algun motivo de seguridad?

Bueno, seguíi indagando un poquito, y comencé a navegar por internet; con lo que me percaté que una clase de firewall me bloqueaba algunas paginas. entre ellas este foro, por motivo "Hacking". La pagina que me lo bloqueaba parecía ser una compañía llamada fortinet. Por lo visto es una especie de firewall/Aplicacion de seguridad para el rouer (he estado informandome un poco)

Después, encendí el wireshark y comencé a mirar un poco el trafico de la red, me percaté que los primeros paquetes a direccion 192.168.76.1 estaba configurada como DHCP y me asignaba la IP. Esa direccion tenia una mac; la cual (por lo que tengo entendido los primeros 3 pares de digitos de la mac representan al fabricante) era del fabricante fortinet.
También me percaté de que no me hacía enviaba ningun paquete a 192.168.0.1 ni ninguna ip cerca de esos rangos..

Pregunta 2: ¿Podría ser un AP con firewall, que permita conexión del router hacia los usuarios inalambricos, pero que estos no envien conexión al router?
Pregunta 3: Tengo entendido que el Wireshark no recoge TODOS los paquetes de la red local; si no que los coge desde donde le viene el internet, es decir, router, ap.. etc.. (osea, que si estoy en el AP no vere lo que pasa al router desde fuera de ese AP

Bueno, despues de ver eso, hice un escaneo de IPS, desde el rango 192.168.76.1 a 192.168.76.255, lo cual solo me detecto la gateway y mi dispositivo. Entonces... comencé a tener la idea de que se podría tratar de un AP...
después, hice otro escaneo, pero esta vez el rango era desde la 0.1 a la 76.255, aquí me detecto un dispotivo en la 0.1, 0.2, 0.3, 0.10, 0.11....0,20 aparte de los de antes... aunque no me daba ningun nombre, ni información al respecto
No obstante, hacía ping a la 0.1 con a CMD y no le llegaba.
(WTF, le llega el paquete para el escaneo pero no el del ping?!?!?!?!?!?!?!?!)

Entonces; llegué a esta conclusión. Estoy en una red, en la cual Hay un router en la 0.1 ademas de algunos dispositivos mas. (Quizás son algun servidor, camara, ordenador..) y eso hace la red cableada, después tienen puesto un AP (o algo), en la .76.1 , que da conexión inalambrica a los usuarios del exterior, aunque esta un poco protegido por algun servicio de firewalll de la empresa fortinet. el cual, aparte de denegar algunas paginas de internet, te prohive (o filtra) la conexión hacia los equipos de DENTRO del local conectados via cable, y.. quizás algo más.


Una vez explicado esto, me gustaría pedir lo siguiente.

Primero, si podría alguien responderme a mis preguntas puestas en medio de la explicación (están remarcadas)
Segundo, qué podría mirar más, qué podría hacer para seguir aprendiendo e investigando sobre redes?

¡SALUDOS!

Comentarios

  • editado 2:39
    La primera duda sobre el rango es por que para direcciones privadas (no publicas) se pueden usar los diferentes rangos de red:

    10.0.0.0 – 10.255.255.255
    172.16.0.0 – 172.31.255.255
    192.168.0.0 – 192.168.255.255
    169.254.0.0 – 169.254.255.255

    Lo del fortigate es un firewall muy vendido entonces no hay mucho problema con eso, la pregunta 2, el firewall que mencionas tiene esa posibilidad de generar redes virtuales (vlans) entonces puede ser que el acceso wireless este de esa forma (como debe ser)

    3. para poder acceder a los paquetes tendrías que conseguir que el trafico pase por ti, intenta ataques de ipv6 o clásicos como arp spoofing

    https://www.youtube.com/watch?v=TYftccHhA5s

    Para saltar de vlan podrías intentar el uso de este software español llamado yersinia

    https://www.youtube.com/watch?v=FlLq4FfpXC0
  • editado 2:39
    Muchas gracias por la respuesta.

    Si no te viene mal acabas de aclararme algunas dudas.

    10.0.0.0 – 10.255.255.255 > CLASE A
    172.16.0.0 – 172.31.255.255 > CLASE B
    192.168.0.0 – 192.168.255.255 > CLASE C
    169.254.0.0 – 169.254.255.255 > CLASE D


    Yo el curso pasado estudié que las IP's que me marcaste se dividen por clases, y que cada clase sirve para algo en si.la unica diferecia de las clases es el numero de subredes y host que deja crear?


    3. para poder acceder a los paquetes tendrías que conseguir que el trafico pase por ti, intenta ataques de ipv6 o clásicos como arp spoofing > A qué tendría que atacar? osea.. hacerle un ataque ARP spoofing a que? al router? (192.168.0.1) al firewall? (192.168.76.1)..??

    Para saltar de vlan podrías intentar el uso de este software español llamado yersinia > Muchas gracias no conocia esto. me lo voy a mirar en un moento!
  • editado 2:39
    Pregunta 1.

    Si efectivamente entre más ips internas se necesiten se usa un rango u otro.

    Pregunta 2

    La idea es que engañes a alguien más que este en tu red haciendose pasar por el router, el tema es que el caso puntual que planteas solo estarias tú, entonces no tiene mucho sentido.

    Pregunta 3

    Sacale el jugo a yersinia a ver si puedes saltar a una red con más maquinas.

    Extra

    Podrías buscar algún fallo en el router fortigate, muchas veces lo instalan y nunca lo actualizan "por que así como esta funciona" entonces podrías aprovechar eso a tu favor https://www.exploit-db.com/search/ busca "fortigate"
Accede o Regístrate para comentar.