Whireshark
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica.
En esta tarea no vamos a realizar capturas en vivo de tráfico, sino que vamos a analizar trazas (capturas) ya realizadas con anterioridad y salvadas en archivos. En este caso, vamos a usar la traza telnet-raw.pcap, del repositorio de capturas disponible en Wireshark.
Analizando un protocolo inseguro de Telnet
Como puedes ver, la elección de una aplicación no segura como Telnet puede llevar a la difusión de información importante, como información de acceso, sistemas operativos, etc., en este caso a través del tráfico intercambiado.
Usuario: faker
Contraseña: user
¿Que sistema operativo corre en la máquina?
OpenBSD/i386
¿Que comandos se ejecutan en la sesión?
ls
ls -a
sbin/ping
exit
Analizando SSL
Trama 2 emite el certificado
¿El certificado va en claro o está cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?
Para esto en la siguiente imagen vemos que algunas partes están cifradas y otras no.
Autoridad que ha emitido el certificado: versign
La identidad del servidor
Analizando SSH
En la primera parte de este ejercicio hemos visto un protocolo no seguro, como Telnet. Una alternativa a usar Telnet a la hora de conectarnos a máquinas remotas es SSH, que realiza una negociación previa al intercambio de datos de usuario. A partir de esta negociación, el tráfico viaja cifrado. Descarga esta traza con tráfico SSH y abrela con Wireshark.
¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?
Los paquetes cifrados empiezan desde el paquete 20
¿Qué protocolos viajan cifrados, todos (IP, TCP...) o alguno en particular?
Los protocolos que viajan cifrados son los SSHV2, desde el paquete 20.
No hay comentarios:
Publicar un comentario