Como saben, hace poco Comcel me aumentó la velocidad y con este cambio también instalaron un modem nuevo. El modem es un Radiotech RTCD905_H6W4, y por ahora es muy usado en las instalaciones de Comcel.
No tengo queja del modem pues es rápido en enganchar, lo tengo en bridge y da la velocidad contratada.
De los 24 canales de bajada me sincronizan 16 y de subida me sincronizan 3. Limitación del nodo pero es suficiente.
La sorpresa era cuando quería monitorear los niveles, y estar pendiente de los cambios que hacen los mañosos de Comcel, pues la IP 100.1 que normalmente usamos parece estar bloqueada a nivel de CMTS.
La unica manera de ver la pagina del cable modem es por la IP HFC, la misma que usan los de Comcel. Eso ya lo sabíamos.
La búsqueda para encontrar la IP HFC del modem no es difícil, pero si es un proceso largo y aburridor.
Con este post quiero explicarles un poco como lo hice, cuales herramientas usé y como funcionan las IP's 5.x.
Empieza a anotar la MAC de tu modem, esta en la caja o en la parte inferior del modem en un sello.
Tomaré como ejemplo mi subnet de IP's 5.x, si previamente obtuviste tu IP HFC, la primera parte casi siempre seguirá igual. En mi caso es 5.107.x.x.
Si no obtuviste tu IP HFC antes, no hay de preocuparse, primero tienes que encontrar en cual subnet estas, lo puedes hacer escaneando un pequeño rango de IP's de cada subnet.
Las IP's que responden con latencias bajas (10ms-50ms) son las IP de cable modem. Si no responde o obtienes latencias de 200ms, estas saliendo al internet, y entonces no es tu subnet HFC.
Acá uso el angry IP scanner pero hay otros que cumplen la misma función.
La IP de inicio es la 5.107.0.0 y la final es 5.107.255.255. Aunque no todo este rango estará en uso, pues la mascara al parecer es 255.255.252.0.
Si escaneamos por primera vez nuestra subnet 5.x, vamos a tener una lista larga de cable modems.
En mi caso 33 mil equipos en linea! Es una tarea casi imposible encontrar nuestro cable modem.
Pero...
Hay unos detalles importantes y conociéndolos permite reducir esa cantidad de resultados:
1. La mayoría de los cable modem tienen DOS interfaces, una es cable modem y la otra es MTA (telefonía). En otras palabras, concretamente solo toca escanear la MITAD pero yo lo hice full.
En mi subnet 5.x los cable modem van de 5.107.0.2 hasta 5.107.127.255, las IP de MTA van desde 5.107.128.2 hasta 5.107.255.255.
Quizás un poco menos, teniendo en cuenta la mascara.
2. El modem RTCD905_H6W4 tiene características únicas que nos faciliten tener solo estos modem en los resultados del escaneo:
Tiene únicamente puerto 80 abierto y en "web detect" (configúralo en las opciones del escáner) responde con "Boa/0.94.14rc21"
Así que cuando abrimos el IP scanner, configuramos en opciones los "fetchers" y ponemos ping, port y Web detect.
En puertos ponemos 80 y 8080. Luego les digo porque.
Luego de un escaneo completo (incluyendo el rango de MTA's) ya es mas compacta la lista.
Un poco mas de 6000 resultados. Pero no hemos terminado aun.
Vas a ver que en la lista hay modems con el mismo "web detect" pero con los dos puertos abiertos, es decir 80,8080.
Estos vamos a eliminar, porque los que tienen el 8080 abierto son los Coship.
Listo? Cuantos quedaron? En mi caso 4800 resultados, como incluyen las IP del MTA, serán por ahí 2400 cable modems RTCD905.
Ver el archivos adjunto 457489
Listo, ya empieza la diversión. En el IP Scanner vamos a exportar los resultados a archivo .lst. Como ya sabemos que hay DOS rangos (cable modem y MTA) voy a exportar un rango "cable modem" y a partir de 5.107.128.0 exporto las IP's del MTA. Porque dos? Porque voy usar dos PC para el proceso, cada uno de los PC toma un rango.
Abrimos los archivos exportados con bloc de notas y eliminamos el puerto ":80" detrás de las IP con la función remplazar, de tal forma que solo quedan las IP.
Ya tenemos las dos listas con IP's de RTCD950. En mi caso habían un par de Coship pero eran muy poquitos.
Edit: El compañero
@dnight compartió un método similar que consiste en escanear solo los modem con latencias de máximo 6ms. Esto funciona si estas en una subred donde el trafico no pasa por la puerta de enlace.
En mi caso, sí paso por la puerta de enlace de Comcel (dos saltos) así que yo no me puedo basar en latencias. Pero sugiero intentar primero esto, pues te puede ahorrar mucho tiempo.
Ahora lo que falta es bajar el AutoIt y hacer un script muy sencillo, que consiste en abrir el internet explorer, pegar la ip en la barra de direcciones y cargar la pagina.
Luego mando CTRL-A para seleccionar el texto, porque en la pagina que acabamos de abrir mediante el script, esta la MAC del modem!
El texto de la pagina del cable modem se pega en un archivo juntos con la IP, esto lo hace el script AutoIt. Esto es como se ve el archivo resultante:
Ver el archivos adjunto 457492
Sí que se demora esto! Pero al final, lo que haces es abrir el archivo de texto y buscar tu MAC, la cual apuntaste en el inicio.
Si hiciste todo bien, en uno de los dos archivos (o en ambos) aparece tu MAC juntos con la IP.
Para el RTCD905 no importa si es la IP del MTA o la del cable modem, pues el modem responde en ambas IP.
Ver el archivos adjunto 457493
Lo que acabo de escribir es "proof of concept", y como los retrasados de Comcel suelen leer este hilo, para que sepan que la red HFC luego de mas de una década de haber sido instalada, sigue vulnerable como siempre.
Aun mas crudo, este proceso se hace con las herramientas mas básicas que hay, todo es gratis o hasta viene con Windows.
Como nota final quiero agregar que esto también funciona para Arris TG862 (ambos variantes), Hitron, Coship y los Tecnicolor.
No se requiere tener el modem en bridge. Algunos dicen escanear las MAC con el modem en bridge, pero este método no funciona, ya que te da la MAC del CMTS y no del modem.
Otra vulnerabilidad es el campo con la contraseña wifi de algunos modems, que tan solo se ha ocultado en la interfaz web, pero si le das "inspeccionar" en Chrome y vas a la parte relevante puedes borrar donde dice "display: none" y darle enter, la clave wifi apareció de una.
Pero esto lo guardo para otro post.
Importante: Arma tu propio script autoit, no es difícil. No me lo pide por favor.
Escorpiom.
-----------------------------------------------------------------------------------------------------------
Bueno ya que es sábado y estamos rajando de los de Comcel, quería resaltar el asunto del wifi comprometido de una vez. Quizás mañana no tengo mas internet. No, no voy a hacer lo del indio.
Primero, es justo comentar que Comcel ha intentado de fortalecer un poco la seguridad de los cable modems en la red de administración.
Este caso es de un modem Coship, que aun se ven mucho en la red de Comcel.
El paciente tiene la IP 5.107.152.30 y es accesible en parte del Valle del Cauca por todos los suscriptores de Comcel en esta región (me incluyo).
Primero vamos a abrir la pagina de configuración de wifi, donde efectivamente ya no aparece la contraseña del wifi. Observa la parte resaltada en rojo:
Ver el archivos adjunto 457495
Luego de borrar "display: none" aparece mágicamente la clave wifi.
Observa la parte resaltada en rojo:
Ver el archivos adjunto 457496
Esto es simplemente pereza por parte de los de Comcel.
Tan fácil no puede ser, esto se convierte en un DoS o mejor dicho un ataque de "negación de servicio".
De la misma manera se puede habilitar todas las casillas en la pagina, simplemente borrando el atributo "readonly".
Escorpiom.
Edit: Que moderador esta combinando mis post? Esto así se vuelve una sopa, la intención era mantenerlas separadas, ya era un post muy largo y ahora se volvió casi imposible de leer.