UNIDAD 2 Tarea 1: Capturando tráfico con Wireshark

Dentro del MOOC Hacking Ético impartido por Mondragon Unibertsitatea nos serán dictadas varias tareas que deberemos de publicar en nuestro blog personal, dichas tareas las iré colocando en la categoría MOOC Hacking Ético. (Para ver todas las categorías de mi blog haz clic sobre el engrane que está dentro del hexágono café en la parte superior de la página).

Capturando tráfico con Wireshark

Wireshark es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica. Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.

Primera parte: Analizando un protocolo inseguro: TELNET

En esta tarea no vamos a realizar capturas en vivo de tráfico, sino que vamos a analizar trazas (capturas) ya realizadas con anterioridad y salvadas en archivos. En este caso, vamos a usar la traza telnet-raw.pcap, del repositorio de capturas disponible en Wireshark.

Ahora al examinar dicho archivo de captura debemos saber:

  • ¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
  • ¿Qué sistema operativo corre en la máquina?
  • ¿Qué comandos se ejecutan en esta sesión?

Tras el análisis encontré lo siguiente:

El servidor es el equipo con IP 192.168.0.1. En la trama 2 se aprecia cómo el cliente (192.168.0.2) solicita una conexión por el puerto 23.

El cliente tiene la IP 192.168.0.2. De la trama 5 a la trama 24 se aprecia que ambos equipos intercambian alguna especie de información no perceptible al usuario, tal vez sean comandos para fijar los parámetros de conexión.

¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?

User: fake
Pass: user

Los podemos encontrar si examinamos de las tramas 28 a la 70

 ¿Qué sistema operativo corre en la máquina?

OpenBSD i386 (oof) ttyp1

Se encuentra en la trama 26

¿Qué comandos se ejecutan en esta sesión?

ls
ls-a
/sbin/ping www.yahoo.com
exit
*

TCP Stream de los paquetes TELNET

Segunda parte: Analizando SSL

Para la realización de este ejercicio, descarga esta traza con tráfico SSL y ábrela con Wireshark. SSL es un protocolo seguro que utilizan otros protocolos de aplicación como HTTP. Usa certificados digitales X.509 para asegurar la conexión.

Tras el análisis de la captura encontré lo siguiente:

¿Puedes identificar en qué paquete de la trama el servidor envía el certificado?

En la trama 2.

*

Trama que envía el certificado

¿El certificado va en claro o está cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?

Hay paquetes que vienen en claro, parecen ser los datos del certificado (quién emite, para qué dominios es válido, etc). Posteriormente siguen datos cifrados que son la firma del certificado y (creo que) el certificado en sí.

La autoridad que emite el certificado es RSA Datasecurity Inc.

*

Buscando quien emite el certificado

¿Qué asegura el certificado, la identidad del servidor o del cliente?

La identidad del servidor.

Tercera parte: Analizando SSH

En la primera parte de este ejercicio hemos visto un protocolo no seguro, como Telnet. Una alternativa a usar Telnet a la hora de conectarnos a máquinas remotas es SSH, que realiza una negociación previa al intercambio de datos de usuario. A partir de esta negociación, el tráfico viaja cifrado. Descarga esta traza con tráfico SSH y abrela con Wireshark.

El análisis arrojó lo siguiente:

Del paquete 9 al 19 los equipos hacen el intercambio de llaves

¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?

A partir de la trama 20

¿Qué protocolos viajan cifrados, todos (IP, TCP…) o alguno en particular?

SSHv2 viaja cifrado

¿Es posible ver alguna información de usuario como contraseñas de acceso?

No.

*

Analizando SSH

Anuncios

Un comentario en “UNIDAD 2 Tarea 1: Capturando tráfico con Wireshark

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s