sábado, 3 de octubre de 2015

Analizando tráfico con Wireshark


ANALIZANDO TRÁFICO CON WIRESHARK
PROTOCOLOS SEGUROS Y OTROS NO TAN SEGUROS

Hola a tod@s, saludos y conocimiento para tod@s…

En esta práctica haremos un análisis de tráfico con el software wireshark (https://www.wireshark.org/download.html), con tramas de datos ya descargados.

Analizando un protocolo inseguro: telnet

https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=telnet-raw.pcap
Se ha hecho una conexión por telnet y vamos a encontrar el usuario del login y su contraseña. Posteriormente el sistema operativo utilizado para la conexión y los comandos ejecutados en la sesión.

  1. Abrimos la traza con wireshark


2. En el filtro de wireshark, escribimos telnet para filtrar (valga la redundancia) por este servicio.





 3. Empezamos a buscar línea por línea hasta encontrar algo interesante.
En la línea 28 encontramos la conexión (el login)


 En la línea 56 encontramos la palabra password

 En la línea 70 encontramos la última conexión realizada



Revisando nuevamente, (no hay que pasar por alto nada) en la línea 26 se encuentra el sistema operativo utilizado para hacer la conexión y su arquitectura







 Sin embargo, en la línea 74 encontramos una especificación más detallada del sistema operativo utilizado, puesto que se puede ver la bienvenida de éste.
En la línea 116 podemos ver los comandos ejecutados en la sesión

Volvemos a revisar y nos enfocaremos en las líneas que están después de la línea del login y el password mencionadas anteriormente

Fijémonos que en la línea 28 se hace el login, por ende analizaremos las líneas que salen de esta máquina (192.168.0.1) posteriores a esta línea


En la línea 38 empezamos a recopilar los caracteres


 línea 42 obtenemos el otro carácter



 línea 46 el siguiente



 linea 50 el último

Con lo cual obtenemos el user: fake

Seguimos con las líneas que están después de la palabra password con las cuales obtenemos la contraseña: user

línea 58 letra u
línea 60 letra s

línea 62 letra e

línea 64 letra r

Con la contraseña debemos tener en cuenta que debemos analizar que la fuente del envío sea la ip 192.168.0.2 puesto que es la que hace la solicitud

Analizando un protocolo seguro: SSL

SSL es un protocolo seguro que utilizan otros protocolos de aplicación como HTTP. Usa certificados digitales X.509 para asegurar la conexión.(https://mooc.mondragon.edu/courses/INFORMATICA/Seguridad/Hacking-etico/courseware/5f79be9691b943a98b3cfe2a201d3400/da6f93fcd4144a529616379d92f650db/)

Haremos este ejercicio con la siguiente trama https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=x509-with-logo.cap

Bueno, haremos el mismo estudio con un protocolo de red seguro, sin embargo en este identificaremos el paquete en el que el servidor envía el certificado de seguridad al cliente:

Filtramos por ssl y empezamos a buscar:
En la línea 2 podemos notar que la ip fuente es la del servidor, la ip destino pertenece al cliente que hace la solicitud y en info aparece Server hello, Certificate, Server Hello Done con lo cual obtenemos una pista gratificante y sencilla de ver. En esta trama encontramos el certificado


(Cabe destacar que una revisión poco profunda en la línea 11 encontramos otro envío de certificado, junto a la línea 18.

Podemos comprobar que el certificado no viene cifrado debido a su forma escrita legible y también encontramos quién emite el certificado (www.verising.com).

El certificado como ya lo hemos mencionado, asegura la identidad del servidor.

Debemos notar que este protocolo nos muestra menos información que la que vimos por telnet debido a su seguridad.

Analizando un protocolo seguro: SSH

SSH, que realiza una negociación previa al intercambio de datos de usuario. A partir de esta negociación, el tráfico viaja cifrado(https://mooc.mondragon.edu/courses/INFORMATICA/Seguridad/Hacking-etico/courseware/5f79be9691b943a98b3cfe2a201d3400/da6f93fcd4144a529616379d92f650db/)
En esta práctica veremos ciertas cosas interesantes. Empecemos:

Link de la trama de datos: https://mondragon.box.com/sshpcap

Nuevamente filtramos por lo que nos interesa que es ssh
Podemos notar rapidamente el sistema operativo
Veamos que en la parte de info de la línea 20 encontramos el inicio del cifrado de la información

Notablemente el único protocolo que viaja cifrado es el SSH  y también notamos que gracias a este protocolo seguro, estamos totalmente desconectado o inhabilitados de acceder a datos sensibles como nombres de usuario o contraseñas puesto que los datos viajan cifrados por la red, con lo cual concluímos que es una de las mejores opciones que tenemos al realizar nuestras conexiones remotas.

Esto ha sido todo y hasta una próxima…

"¡En efecto, quien busque el infinito, que cierre los ojos!"
Milan Kundera
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)