domingo, septiembre 02, 2018

FingBox: Revisión de un "Security Appliance"

Antes de comenzar con este artículo, quiero dejar un par de avisos para que se entienda mejor todo. En primer lugar el dispositivo descrito a continuación "FingBox" no es un firewall, ni actúa como tal dado que no filtra las conexiones de red, ni éstas son pasadas a través de él, así que debe entenderse todo el artículo desde esa posición. Por eso se define así mismo como un "Security Appliance" para redes WiFi en casa, para lo que tiene funciones muy curiosas.

Figura 1: FingBox: Revisión de un "Security Appliance"

En segundo lugar, y quizá la más importante, es que yo no tengo nada que ver con “Fing” o “Fing Limited”. Solamente me he propuesto realizar una revisión de este dispositivo de red y analizarlo un poco más en detalle para mí, y me he decidido compartirlo con vosotros. Espero que os sea de utilidad.

¿Qué es FingBox?

A muchos les sonará la app Fing, disponible para iOS y Android, con la que podemos detectar todos los dispositivos que están conectados a una red WiFi en la que estemos nosotros. Si eres un lector fiel de este blog, te habrás encontrado con Fing en muchas de las aventuras de otros escritores, como en estos artículos donde tiene una importancia grande dentro de las aventuras de sus protagonistas:
- Cervezas, cámara...¡acción!
- Pentesting Familiar: La WiFi, un Yamaha y café en familia
FingBox es un dispositivo hardware perteneciente a “Fing Limited” con el que se amplía la capacidad de dicha app para operar con nuestra red desde un punto físico. Es un pequeño aparato que se conecta a nuestra red mediante un RJ45 con el fin de monitorizar los dispositivos en la red cableada además de la red WiFi.

Figura 2: FingBox

Tiene la capacidad de poder establecer horarios para el acceso a Internet (control parental), denegar el acceso a la red para determinados dispositivos, detectar ataques e incluso capacidad para hacer seguimiento de dispositivos aunque los mismos no estén conectados a nuestra red WiFi. Para hacer eso, teniendo presente que no es un firewall, cuenta con con una composición hardware como esta:
• Sistema Operativo Ubuntu Core OS
• Procesador ARM 7
• Un puerto ethernet 1 GB/s
• 4GB de almacenamiento interno
• 512 MB RAM
• Tarjeta WiFi (chipset no especificado). Según el fabricante trabaja en los 2.4Ghz/5Ghz excepto para “Digital Fences” que solo trabaja en la banda de 2.4Ghz.
• 1 Puerto USB. Según el fabricante aún no está en uso y es probable que en un futuro desarrollen algún add-on para su uso.
• 1 puerto miniusb para la alimentación
• Parte superior luminosa que parpadea cuando es necesario revisar alguna alerta en la app Fing.
Su puesta en marcha es bastante sencilla. Conectamos el dispositivo a nuestro router, le conectamos la corriente, esperamos unos 10 minutos y abrimos nuestra app Fing. La aplicación lo detectará y comenzará su configuración que básicamente es darnos de alta en fing.io con los datos del dispositivo y nuestra dirección de correo para poder manejarlo de forma remota.

Figura 3: Fingbox unboxed

Esto delata que la comunicación con el FingBox no es directa, sino a través de un servicio centralizado. También nos generará un código y nos lo enviará por e-mail para poder acceder con ese código a un grupo cerrado de Facebook en el cual se da soporte técnico al dispositivo. Tras realizar todo el proceso podremos controlar el dispositivo desde la propia app o desde la web https://app.fing.io.

A partir de aquí comenzará a detectar todos los dispositivos conectados a la red, sea por WiFi o cable, y nos ofrecerá la posibilidad de confiar en ellos, bloquearlos, asignarles a una persona, etcétera. Es decir, a gestionar la red.

¿Qué cosas puede hacer?
Control horario - Una vez identificados y asignados los dispositivos a cada persona, podemos generar perfiles de horarios de uso, es decir, bloquear a una persona o personas para que a determinadas horas de día no le permita usar internet, como por ejemplo la hora de hacer la tarea de nuestros hijos, o la hora de dormir.
Restricción de dispositivos – Permite bloquear un determinado dispositivo de nuestra red para que no tenga acceso a la misma.
Escaneo NAT - Escaneará nuestro router en busca de servicios expuestos a Internet y nos avisará de ellos, e incluso nos permitirá hacer reenvío automático de puertos en el caso de que nuestro router lo permita.
Control de presencia de persona/dispositivo - Cada vez que se conecte un dispositivo nuevo nos lo indicará mediante una notificación push y si ya lo hemos autorizado previemente y asignado a alguien como “personal”, nos alertará de cuando esa persona entre/salga del radio de alcance la WiFi.
Reconocimeinto de dispositivos - Es capaz de decirnos marca y modelo de cada dispositivo e incluso el sistema operativo usado (no siempre, dependiendo de los servicios/puertos abiertos).
Escaneo de puertos básico - Escaneo de puertos/servicios conocidos.
Herramientas de red - Ping, Traceroute (interesante ya que en nuestra red podemos tener varios AP o PLC’s y de este modo sabremos que camino sigue para su conexión a Internet), Wake-On-Lan, intensidad de la señal del dispositivo conectado (en caso de que esté conectado por WiFi)
“Digital Fence” - Escanea en busca de redes WiFi y dispositivos que estén a su alcance y podemos especificar que nos alerte cuando algunos de esos dispositivos entren y salgan de su alcance sin necesidad de que estén conectados a nuestra WiFi.
Análisis de conexión a Internet - Mide la velocidad de subida/bajada de Internet, latencia, calidad del Streaming de la WiFi, velocidad de la WiFi y realiza un análisis de banda ancha.
Protección de intrusión WiFi - Viene preparado para proteger nuestra red WiFi contra ataques KRACK y EvilTwin.
Reenvío automático de puertos – Si tu router lo permite, podrás configurar desde la propia app esta característica.
Whois – Nos muestra los datos de nuestra conexión WiFi y conexión a Internet.
Compartir – Puedes compartir todos los datos almacenados por la App.
Un poco más a fondo

No siendo un firewall, tal vez te preguntes cómo hace muchas de las cosas para las que parece que hay que estar en medio de la conexión, pero no lo necesita porque utilizar unos trucos muy "hacker" para ello. Vamos a ver cómo hace algunas de esas cosas. Para la identificación de los dispositivos hace uso de su dirección MAC con la que lo identifica y almacenar, asociándolo a una su dirección IP y dándonos la posibilidad de ponerle un nombre personalizado.

Figura 4: Identificación de dispositivos con Fing App

En el caso de bloqueo de dispositivos, utiliza una técnica de hacking de redes IPv4 & IPv6 muy popular como es ARP Spoofing, engañándolo y haciéndole creer que la puerta de enlace/router es el propio FingBox para cualquier conexión, tanto en la LAN local como para Internet, con lo que pasará a un estado de “aislamiento”.

Por supuesto, esto puede eludirse cambiado la dirección MAC de la tarjeta WiFi o Eth conectada, de manera que será detectado como un nuevo dispositivo y permitirá de nuevo el acceso… con la salvedad de que recibiremos un mensaje push de “nuevo dispositivo detectado".  Al fin y al cabo no es un firewall, y está pensado para entornos familiares.

Aunque este es un punto flaco, ya que debería poderse elegir si bloquear, alertar o autorizar de forma automática cada dispositivo nuevo detectado, pero dado que nos alerta mediante mensaje push, los desarrolladores han decidido no incluir esta funcionalidad.

Figura 5: ARP Spoofing para bloquear dispositivos

La antena WiFi incorporada es la encargada de escanear nuestros alrededores en busca de dispositivos, y también podemos asignar esos dispositivos y monitorizar su entrada/salida del rango de la antena WiFi del FingBox. También se utiliza para detectar si un nuevo AP se levanta con el mismo nombre de nuestra WiFi y nos alertará de ello dándolos la posibilidad de confiar o no en él. Esto significa que estaremos ante un ataque KRACK, EvilTwin, Rogue AP, o similares, dado que este tipo de ataques se basan en levantar un AP simulando ser la WiFi de confianza de la víctima.

Figura 6: Detección de un nuevo AP

Un escáner de puertos al dispositivo nos muestra abiertos el puerto 22 (SSH) y el 44444 (HTTP). Tras ponernos en contacto con el servicio técnico nos informan que el servicio SSH, aunque aparece habilitado, no tiene permitido el login, algo que resulta extraño, dado que lo más normal es deshabilitar un servicio en vez de deshabilitar el login al mismo.

Con respecto al puerto 44444, al hacer una petición HTTP nos responde con un XML. La respuesta tiene pinta de que el servicio sirve para que la app Fing detecte el FingBox en la red.

Figura 7: XML en servicio HTTP

Al conectarnos por ssh nos pide contraseña, pero no la conocemos y realizar fuerza bruta contra el servicio es infructuoso dado que no conocemos las características de la misma para poder generar un diccionario.
Actualización: en el momento de redactar este artículo, el puerto 22 (SSH) ya no se lista como servicio activo, probablemente debido a alguna actualización.
Reflexiones personales finales

Como pros, la lista de los beneficios que ofrece este dispositivo de seguridad para el hogar es un mayor control sobre “qué tienes” en tu red, un control de uso horario de Internet, una mayor  detección de ataques a tu red WiFi y opciones de monitorización de uso de tu conexión.

Figura 8: Precio de FingBox en Amazon

En contra hay, sin embargo, que poner algunas cosas como que el bloqueo de dispositivos es un tanto “dudoso” al no ser un firewall, su precio que no es precisamente barato (129 € en Amazon), y que el soporte y la información no es muy amplia.


Figura 9: SmartWiFi de Telefónica para iOS y versión para Android

Además, algunas empresas como Telefónica, ya ofrecen soluciones de gestión directamente en el router, como es el caso de SmartWiFi que - si tienes un router suyo - permite gestionar muchas de las cosas que he descrito.

Saludos,

Autor: Jesús Suárez Gálvez

8 comentarios:

eljose dijo...

Usaba fing y barajé comprar el fingbox para controlar los dispositivos de mis hijos, al final compré el router xiaomi Mi wifi por unos 40€ que tiene más o menos todo eso además de un puerto wan y dos puertos Gigabit. De momento va estupendamente.

kabracity dijo...

¡Gracias por el análisis! Lo he visto varias veces promocionado en la app de Fing, pero me lo esperaba bastante peor (nunca me he puesto a leer sobre él).
¿La parte de hacer una cuenta es obligatoria? Siempre echa para atrás ese tema, sobre todo en cuanto a la seguridad. Imagino que en cualquier caso siempre se le puede denegar la salida a internet al dispositivo, pero quizás lo necesite para algunas operaciones.

Jesús Suárez Gálvez dijo...

Hola kabracity,
Si, es obligatorio registrarlo.
El dispositivo necesita acceso a internet para las actualizaciones, notificaciones push y para su control, ya que éste no es directo. De hecho se puede controlar remotamente.

Saludos.

Jesús Suárez Gálvez dijo...

Hola eljose,
La diferencia de precio es notable. La diferencia es que este dispositivo no actúa de router, con lo que puedes apagarlo y no afecta a la conexión a internet. Como dice el artículo no actúa como firewall. Su fuerte está en el "Digital Fence" protección contra ciertos ataques y la administración remota.

Saludos.

Cop dijo...

Hola muchas gracias por la información! una duda, tengo vecinos que me roban el Internet y vaya que son buenos (porque también se roban otros servicios), estoy convencido que el vecino ratero utiliza un tipo de programa, sistema operativo, antena( harware) o configuraciones especiales en su laptop para hacer de esta un router o un tipo módem y que se "alimente" de mi wifi o internet, conectando sus otros dispositivo (celulares de su familia) a su "router" (laptop o antena) por favor ayudanme a saber si esto es posible y si es mejor dar por suspendido mi paquete de Internet (infinitum) y sólo contratar planes de telefonía a la familia o mejor mudarme, quiero decir que desde que llegó a vivir a un lado de mi casa me ha estado robando el Internet y he configurado mi módem para que ya no suceda pero es inútil debido que tiene mucha más experiencia en estas cosas espero puedan ayudarme y muchas gracias x la información
Saludos desde Puebla, Puebla; México.

Cop dijo...

Creo que hace un tipo de router falso en su casa y lo pone "invisible" u oculta el ssid pero todo es porque se alimenta de mi Internet y el se conecta con todos sus dispositivos a su "router" falso es posible esto, mi conexión es bastante deficiente tenemos que apagar todos los dispositivos en mi casa para ver Netflix y aún así se alenta y se detiene la reproducción del vídeo espero me puedas ayudar Gracias

Cop dijo...

También quisiera saber si el fingbox me podría ayudar con estos ataques gracias

Unknown dijo...

Que tal Cop, en efecto si ayuda a gestionar mejor tu red doméstica, yo lo uso y desde que lo conecte a mi red ya no se han colgado de ella.
Cabe mencionar que antes de configurarlo te recomiendo cambiar los ajustes de fábrica del módem para que no sigas con ese problema. (usuario y contraseña de acceso al modem, contraseña SSID, etc) saludos

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares