Sensor Fumaça - HISSSK Ignorando servidor DHCP.

Mr. Caio Augusto · 11 de julho de 2024

Caros, boa noite.

Não tenho muito conhecimentos de rede, por isso preciso de orientação para entender se este comportamento é normal e motivo pelo qual não consigo 'localizar esse dispositivo em minha rede'

Ontem estava mapeando os dispositivos conectados em minha rede. Tabulei todos com seus respectivos IP e MAC e tudo ocorreu bem..... Utilizei as ferramentas do meu roteador TPLINK C6 e também a ferramenta da Kaspersky que detecta todos os dispositivos online... Porém um deles eu não localizo em nenhum software, nem no gerenciador do roteador.

Trata-se de um dispositivo de detecção de fumaça da GEONAV (SENSOR), ele esta conectado em minha rede WIFI porém ele não mostra nos painéis do roteador... ele parece estar oculto e isso me causa certo desconforto.

A única pista que tenho é através do app da empresa proprietaria (TUYA) que mostra o IP e MAC do sensor, e o intrigante é que no app mostra que ele esta conectado com um IP que não faz parte do meu servidor DHCP.... meu servidor começa com 192.168... já o do sensor começa com 170.82.1...

Minhas perguntas são:

O sensor pode se conectar a um servidor que não seja de meu controle? (ignorando o meu DHCP?) e alocando um completamente fora de meu controle?

Porque não consigo localizar o sensor nos painéis do roteador? não ha logs nem pista dele por lá.

Ele mostra o endereço MAC no app do sensor e mesmo eu bloqueando ele no painel do roteador, ele ainda emite sinais pela internet! porque?

Já adianto que meus conhecimentos em rede são limitados, mas fiquei curioso deste comportamento deste device.

Dicas...

Linio Alan · 11 de julho de 2024

Única coisa que me ocorre no momento é o seu sensor ter embutido um VPN_client que fecha túnel VPN externamente mesmo, e o VPN_server atribuir um IP público ao sensor, explicaria porque ele se conecta à internet pela sua rede WiFi com outro IP, só precisa ver se essa empresa GEONAV possui registro na ANATEL até pra ver se os equipamentos de redes deles geram endereços físicos MAC identificáveis, o fato de o MAC não constar na tabela ARP do seu roteador pode ter relação com isso.

Mr. Caio Augusto · 12 de julho de 2024

Obrigado Linio pelas explicações.

Consegui entender o que houve:

Esse sensor usa um modulo ESP8266 Espressif (TYWE3S Module Datasheet) de baixa potência, isso faz com que ele emita um breve sinal quando acionado e logo em seguida entra em repouso (devido a ser alimentado por linhas AAA) o que dificultou a detecção dos programas que mencionei acima.

Mas mesmo assim ele deveria deixar algum rastro, mesmo que mínimo, OU o software do roteador não lista esse tipo de dispositivo. Mesmo assim eu não desisti... integrei ele no APP e dentro do software eu consegui descobrir o endereço MAC do ESP, acessei o painel do roteador e fiz o bloqueio do endereço (anteriormente havia citado que não tinha conseguido, mas eu tinha feito errado rsss)....

Quando eu realizei o bloqueio do MAC o dispositivo parou de emitir sinais de aviso no app (obvio) e o painel ARP mostrou o IP local (192.168... seguindo a ordem do meu servidor DHCP)... bingo... consegui um IP do dispositivo na minha rede de acordo com a minha tabela, o IP que o app da GEONAV mostrou é um IP externo e não o meu interno.

Pode parecer algo banal, mas entender o funcionamento do modulo foi bacana.

Resumindo:

O modulo ESP muitas vezes passa desapercebido na rede devido ser de baixo consumo.

Obrigado

abraço

Linio Alan · 12 de julho de 2024

Show de bola Caio! Eu também curto imersão nas specs dos devices, realmente sempre tem muito pra assimilar e entender como tudo funciona.

Pela sua explicação me parece que você tinha realizado então um bloqueio por MAC e por isso a sinalização dele parou de chegar no app de gerência, e explica o porquê de o endereço MAC dele simplesmente sumir da tabela ARP do seu roteador, mas que é estranho ele ter um IP externo/público isso também é, procure ver de onde é esse IP até pra uma questão de cybersecurity pois esse sensor é um dispositivo IoT e infelizmente alvo fácil principalmente se exposto na internet aberta

Parabéns amigo pelo empenho e detalhamento, faz jus à patente de Admim de fórum

Abraço Tmj!

Mr. Caio Augusto · 12 de julho de 2024

A minha curiosidade se resumiu exatamente ao que você disse: "até pra uma questão de cybersecurity"

Eu fui atrás pois me gerou estranheza ele não aparecer na minha tabela ARP, mesmo eu forçando ele a emitir sinais (pacote na rede), eu só fui conseguir ver ele na tabela quando eu realizei o bloqueio por MAC, ai sim o painel mostrou o IP que o dispositivo estava atribuído e que estava tendo acesso negado. (Ai sim consegui o ip local que ele deveria ter me mostrado no ARP) --- não sei se é um bug ou limitação do painel ou até mesmo pelo fato que o ESP emite um sinal baixo...

Agora um fato que me chamou atenção é que dentro do app do sensor há um IP (que não é mostrado em nenhum lugar da minha rede) mas que segue uma outra ordem... se é real ou não eu não sei... mas é um ip externo e gostaria de saber de onde é esse IP... Existe como?

Essa questão de segurança é algo que me intriga também, pois hoje temos muitos dispositivos conectados, mesmo que simples.... quais as seguranças que temos? Inserindo um device em nossa rede e dependendo de soluções de segurança dos fabricantes que muitas vezes encerram o suporte e o deixam exposto a internet a fora.... Se parar para pensar o buraco é mais embaixo rssssss... Já pensou uma simples lâmpada permitindo um acesso em sua rede domestica? Quais os cuidados que devemos ter?

Linio Alan · 12 de julho de 2024

15 horas atrás, Mr. Caio Augusto disse:

A minha curiosidade se resumiu exatamente ao que você disse: "até pra uma questão de cybersecurity"

Eu fui atrás pois me gerou estranheza ele não aparecer na minha tabela ARP, mesmo eu forçando ele a emitir sinais (pacote na rede), eu só fui conseguir ver ele na tabela quando eu realizei o bloqueio por MAC, ai sim o painel mostrou o IP que o dispositivo estava atribuído e que estava tendo acesso negado. (Ai sim consegui o ip local que ele deveria ter me mostrado no ARP) --- não sei se é um bug ou limitação do painel ou até mesmo pelo fato que o ESP emite um sinal baixo...

Precisa saber exatamente qual MAC address você bloqueou, na teoria simples e clara de redes o IP só é atribuído à uma interface de rede cujo MAC address foi instalado na tabela ARP, sem isso nenhum IP deveria ser atribuído ao sensor, daí então vem a pergunta: será que esse sensor tem duas interfaces WiFi? Digo isso até porque agora de acordo com a descrição o sensor possui dois endereços IPs: 192.168.x.x e 170.82.1.x.x, e geralmente um único endereço IP é atribuído por interface (há exceções claro mas serão sempre exceções). Fico pensando se a interface cujo endereço MAC você bloqueou não era a interface do IP 170.82.1.x.x. E mais: como e por qual motivo estava tendo acesso negado? Você possui algum firewall na rede para além do firewall embutido nos roteadores?

Muito estranho, por regra, o IP da rede LAN -- 192.168.x.x -- apenas deveria ser atribuído quando não houvesse nenhum bloqueio, não o contrário.

15 horas atrás, Mr. Caio Augusto disse:

Agora um fato que me chamou atenção é que dentro do app do sensor há um IP (que não é mostrado em nenhum lugar da minha rede) mas que segue uma outra ordem... se é real ou não eu não sei... mas é um ip externo e gostaria de saber de onde é esse IP... Existe como?

É o IP 170.82.1.x.x, certo? Você consegue sim, basta fazer o "whois" em cima desse IP:

https://ipinfo.io/170.82.1.1

15 horas atrás, Mr. Caio Augusto disse:

Essa questão de segurança é algo que me intriga também, pois hoje temos muitos dispositivos conectados, mesmo que simples.... quais as seguranças que temos? Inserindo um device em nossa rede e dependendo de soluções de segurança dos fabricantes que muitas vezes encerram o suporte e o deixam exposto a internet a fora.... Se parar para pensar o buraco é mais embaixo rssssss... Já pensou uma simples lâmpada permitindo um acesso em sua rede domestica? Quais os cuidados que devemos ter?

Exato Caio, atualmente infelizmente mesmo com suporte ativo há brechas que ou não são divulgadas/desconhecidas ainda, ou que os fabricantes demora e/ou levam um certo tempo para lançar a correção via atualização de software, daí que surgiu no mercado o framework "Zero Trust" que basicamente é uma filosofia de admitir que você já foi invadido e o invasor está dentro da sua rede, independente se o seu firewall/IPS/IDS etc tenham ou não identificado a ameaça. Desta forma, adotasse os meios de mitigação como "hardening", "Isolation", "traffic inspection by behavior" entre outros... em redes grandes principalmente corporativas, o ideal é ao menos isolar o tráfego de cada host e inspecionar o tráfego por algum 'Intrusion Detection/Protection System" com IA, é bastante complexo mas é o que se tem feito ultimamente em larga escala.

No seu caso acredito que se o app de gerência não tiver um servidor interno que colete os dados enviados pelo sensor, e ele precisar ter acesso à internet para lhe atualizar via app pela internet, então isso por si só já seria uma exposição ao sensor à ataques, embora ele esteja atrás da sua rede LAN. Por isso o ideal seria essa coleta de informações ocorrer no modelo "cliente-servidor" com o sensor enviando dados para um syslog/server local dentro da sua rede LAN, e daí sim então o syslog lhe encaminhar os dados coletados para o app, ou ainda você poder acessar o seu sensor apenas via VPN com encriptação ativa, talvez o seu app já ofereça algo nesse sentido.

Mas dependendo então da sua rede atual aí, seria interessante já pesquisar por opções de segurança corporativas, um conjunto de ferramentas e tecnologia que lhe dê uma cobertura contra ataques e vazamento de dados, mas sempre vai antes depender tanto do que você tem para proteger internamente quanto do seu orçamento, dependendo do que for pode compensar ou não adquirir soluções mais avançadas de segurança.

arfneto · 14 de julho de 2024

Em 10/07/2024 às 22:12, Mr. Caio Augusto disse:

O sensor pode se conectar a um servidor que não seja de meu controle?

Sim, mas através da sua rede local que você controla... Então não se você não deixar.

Em 10/07/2024 às 22:12, Mr. Caio Augusto disse:

Trata-se de um dispositivo de detecção de fumaça da GEONAV (SENSOR), ele esta conectado em minha rede WIFI porém ele não mostra nos painéis do roteador... ele parece estar oculto e isso me causa certo desconforto

Então não está conectado quando você olha. Aperte o botão de teste ou gere fumaça e veja se ele se conecta para gerar os alarmes. Ele pode se conectar apenas a cada x segundos e emitir um pulso, por exemplo.

Em 10/07/2024 às 22:12, Mr. Caio Augusto disse:

(ignorando o meu DHCP?) e alocando um completamente fora de meu controle?

Porque não consigo localizar o sensor nos painéis do roteador?

wifi é uma parte de sua rede IP. Para acessar a internet o sensor precisa de acesso ao gateway padrão. E para acessar o gateway padrão precisa de um endereço IP na sua rede local. E para isso precisa de seu serviço DHCP ou de um endereço fixo em sua rede e mais o endereço do gateway, claro.

Não consegue localizar porque não está conectado constantemente. Não pode ter isso em um aparelho desse tamanho e alimentado por pilhas. Rádio gasta muita bateria.

Em 10/07/2024 às 22:56, Linio Alan disse:

Única coisa que me ocorre no momento é o seu sensor ter embutido um VPN_client que fecha túnel VPN externamente mesmo, e o VPN_server atribuir um IP público ao sensor, explicaria porque ele se conecta à internet pela sua rede WiFi com outro IP

Não explica. Não há conexão com a rede local por outro IP. Uma conexão com uma VPN é um túnel IP e a conexão com o outro lado seria pelo gateway padrão, o endereço público do seu roteador. Antes de estabelecer a VPN precisa de um endereço local, na rede ethernet. E acesso ao gateway.

Em 11/07/2024 às 23:14, Mr. Caio Augusto disse:

Eu fui atrás pois me gerou estranheza ele não aparecer na minha tabela ARP, mesmo eu forçando ele a emitir sinais (pacote na rede), eu só fui conseguir ver ele na tabela quando eu realizei o bloqueio por MAC, ai sim o painel mostrou o IP que o dispositivo estava atribuído e que estava tendo acesso negado. (Ai sim consegui o ip local que ele deveria ter me mostrado no ARP) --- não sei se é um bug ou limitação do painel ou até mesmo pelo fato que o ESP emite um sinal baixo...

Agora um fato que me chamou atenção é que dentro do app do sensor há um IP (que não é mostrado em nenhum lugar da minha rede) mas que segue uma outra ordem... se é real ou não eu não sei... mas é um ip externo e gostaria de saber de onde é esse IP... Existe como?

Os roteadores não tem painéis de conexão em tempo real e você teria que ficar atualizando até ver o IP do sensor lá.. E não gravam em geral log das conexões feitas com sucesso. Mas mostram conexões bloqueadas porque pode ser um sinal de invasão, algo crítico. E assim você vê o log do bloqueio.

Em 11/07/2024 às 23:14, Mr. Caio Augusto disse:

não sei se é um bug ou limitação do painel ou até mesmo pelo fato que o ESP emite um sinal baixo...

Não existe esse conceito. Se o sinal cair abaixo de um certo nível a conexão cai. Acima disso os pacotes são transmitidos apenas. É digital. Ou vai ou não vai. Pode ir mais depressa ou mais devagar, mas é digital. Conforme se afasta do AP por exemplo o sinal vai caindo em intervalos para a metade em mbps. Até cair a conexão.

Em 12/07/2024 às 15:00, Linio Alan disse:

É o IP 170.82.1.x.x, certo? Você consegue sim, basta fazer o "whois" em cima desse IP:

170.82.x.y é um IP público, mas uma conexão para, por exemplo, uma eventual nuvem da TUYA teria que sair pelo gateway padrão, usando um endereço IP em sua rede local e depois mascarado via NAT pelo seu roteador.

Em 12/07/2024 às 15:00, Linio Alan disse:

Por isso o ideal seria essa coleta de informações ocorrer no modelo "cliente-servidor" com o sensor enviando dados para um syslog/server local dentro da sua rede LAN, e daí sim então o syslog lhe encaminhar os dados coletados para o app, ou ainda você poder acessar o seu sensor apenas via VPN com encriptação ativa, talvez o seu app já ofereça algo nesse sentido.

O sensor envia dados para os aplicativos TUYA em telefones ou em aplicativos escritos usando os SDK do fabricante para integração. Esses IP 172.82 podem ser usados para gerenciar a nuvem de dispositivos do fabricante. Se o sensor emite alertas em seu celular quando o celular não está conectado à mesma rede wifi que o sensor foi configurado para usar, você pode testar isso bloqueando a saída para essa rede no seu roteador e gerando um alarme. Se ele atingir o celular na LAN mas não na rede celular já saberá que é por isso.

Linio Alan · 14 de julho de 2024

8 horas atrás, arfneto disse:

Não explica. Não há conexão com a rede local por outro IP. Uma conexão com uma VPN é um túnel IP e a conexão com o outro lado seria pelo gateway padrão, o endereço público do seu roteador. Antes de estabelecer a VPN precisa de um endereço local, na rede ethernet. E acesso ao gateway.

Compreendi a sua colocação, mas essa citação àquela minha primeira postagem já está desatualizada ao decorrer do tópico, lá eu me referia ao IP atribuído na interface lógica da VPN e não na interface física, uma VPN por exemplo o endereço IP é designado à interface PPTP/L2TP no device (pseudo-interface) pelo servidor VPN remoto e não pelo DHCP da LAN local, por óbvio que uma VPN sempre irá necessitar de uma conexão local LAN para se estabelecer, foi no desenrolar das informações ao longo do tópico que tudo se esclareceu, mas entendo a sua colocação, mostra que você está atento à tudo mesmo.