Primera parte: Analizando un protocolo inseguro (Telnet)
En esta tarea no vamos a realizar capturas en vivo de tráfico, sino que vamos a analizar trazas (capturas) ya realizadas con anterioridad y salvadas en archivos. En este caso, vamos a usar la traza telnet-raw.pcap, del repositorio de capturas disponible en Wireshark.
Lo primero que haremos sera abrir el archivo descargado con el programa Wireshark enseguida en el area de «Filter» escribiremos «telnet» como se muestra en imagen 1 una vez hecho esto daremos click derecho sobre la primera trama u seleccionaremos «Follow TCP Stream» esta nos abrira una nueva pestaña como se muestra en la imagen 2 en esta ventana se nos presentaran diversas acciones realizadas entre el usuario y el servidor.
imagen 1: filtrado telnet
imagen 2: Follow TCP Stream
Como podemos observar en esta area se encuentra el nombre de usuario asi como contraseña y los comandos que fueron utilizados por el usuario y que el servidor repitio es por eso que algunas partes aparecen en rojo y azul de manera consecutiva que al parecer es el momento en el que el usuario interactua con el servidor en la imagen 3 se muestra el resto de lainformacion desplegada, asi que de esta manera ya podemos responder a las siguientes preguntas
imagen 3: comandos
Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
usuario: fake, contraseña user
¿Qué sistema operativo corre en la máquina?
OpenBSD/i386
¿Qué comandos se ejecutan en esta sesión?
ls
ls -a
/sbin/ping http://www.yahoo.com
contol+C
exit
Segunda parte: analizando SSL
Para la realización de este ejercicio, descarga esta traza con tráfico SSL y abrela con Wireshark. SSL es un protocolo seguro que utilizan otros protocolos de aplicación como HTTP. Usa certificados digitales X.509 para asegurar la conexión.
En esta parte comenzaremos por descargar el archivo y abrirlo en Wireshark seleccionaremos uno de los paquetes dandole click derecho y seleccionando «Follow TCP Stream» esta nos abrira una nueva pestaña como se muestra en la imagen 4 y 5
imagen 4: archivo descargado
imagen 5: Follow TCP Stream
¿Puedes identificar en qué paquete de la trama el servidor envía el certificado?
inicia en la paquete 2
¿El certificado va en claro o está cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?
El certificado viene cifrado, RSA Data Security
¿Qué asegura el certificado, la identidad del servidor o del cliente?
Al servidor
Parte tres: Analixando con ssh
En la primera parte de este ejercicio hemos visto un protocolo no seguro, como Telnet. Una alternativa a usar Telnet a la hora de conectarnos a máquinas remotas es SSH, que realiza una negociación previa al intercambio de datos de usuario. A partir de esta negociación, el tráfico viaja cifrado. Descarga esta traza con tráfico SSH y abrela con Wireshark.
De manera similar a las anteriores 2 descargaremos el archivo y lo abriremos en Wireshark en el area de»Filter» escribiremos el filtro ssh como se muestra en la imagen 6 despues seleccionaremos ssh protocol.
imagen 6
¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?
los paquetes cifrados comienzan desde los paquetes 4 y 6 de ahi comienzan desde el paquete 20
¿Qué protocolos viajan cifrados, todos (IP, TCP…) o alguno en particular?
SSH version 2
¿Es posible ver alguna información de usuario como contraseñas de acceso?
no, ya que toda la informacion viene cifrada
hackingethicalblog 