Primera parte : Analizando un protocolo inseguro – Telnet

En esta tarea no vamos a realizar capturas en vivo de tráfico, sino que vamos a analizar trazas (capturas) ya realizadas con anterioridad y salvadas en archivos. En este caso, vamos a usar la traza telnet-raw.pcap, (Cliquear para descargar) del repositorio de capturas disponible en Wireshark.

Descárgate la traza en tú computadora y abrila con el programa WireShark. Esta traza ha capturado el tráfico de una sesión de Telnet entre el cliente y el servidor.

Un consejo: para observar mejor el tráfico de telnet, podes usar un filtro muy sencillo de visualización, como podes ver en la imagen, recuerden que yo utilizo kali linux por lo tanto el uso de wireshark es distinto al de windows, aunque bajando la traza llamada : «telnet-raw.pcap» al hacerle doble click, wireshark abre automáticamente:

1

Ahora debemos saber : ¿Qué usuario y contraseñas se usaron para acceder al servidor de telnet?

¿Qué sistema operativo corre en la máquina?

¿Qué comandos fueron utilizados en esta sesión?

Entonces lo que haremos es lo siguiente, presionar el click derecho en una de las tramas y seleccionamos : «Follow TCP stream» como se puede apreciar en la imagén :

 2

Y luego aparecerá una ventanita que contiene toda la información del tráfico, con esto podemos averiguar que usuario y contraseña se utilizó, que sistema operativo corre en la máquina y que comandos fueron usados en la sesión.

3

Usuario : ffaakkee
Contraseña : user

Sistema operativo : OpenBSD 2.6-beta

Comandos utilizados :

ls

ls -a

ping

exit

Segunda parte : Analizando SSL

Nuevamente volvemos a analizar, pero esta vez el protocolo SSL es un protocolo seguro que utilizan otros protocolos de aplicación como HTTP. Usa certificados digitales X.509 para asegurar la conexión.

Para la realización de este ejercicio, descarga esta traza con tráfico SSL y abrela con Wireshark. SSL es un protocolo seguro que utilizan otros protocolos de aplicación como HTTP. Usa certificados digitales X.509 para asegurar la conexión.

Ahora debemos de saber :

¿Podes identificar en qué paquete de la trama el servidor envía el certificado?

¿El certificado va en claro o está cifrado?

¿Podes ver, por ejemplo, qué autoridad ha emitido el certificado?¿Qué asegura el certificado, la identidad del servidor o del cliente?

4

Entonces para lo primero debemos identificar en que paquete de la trama el servidor envía el certificado, podemos ver qué esta en la segunda trama :

5

Y vemos que el certificado se ha enviado : «Certificate (id-at-commonName=login.passport.com,id-at-organizationalUnitName=Terms of use athttp://www.verisign.com/r,id-at-organizationalUnitName=MSNPassport,id-at-organizationName=Microsoft,id-at-localityName=Redmond,id-at-stateOrProvinceNam ssl.handshake.certificate»

6

Podemos apreciar que el certificado esta en partes claras y partes cifradas, donde observamos también en la imagén de arriba, que verisign ha emitido el certificado.

Y el certificado asegura la identidad del servidor y no del cliente, al estar hablando de la compania verisign.

Tercera parte : Analizando SSH.

En la primera parte de este ejercicio hemos visto un protocolo no seguro, como Telnet. Una alternativa a usar Telnet a la hora de conectarnos a máquinas remotas es SSH, que realiza una negociación previa al intercambio de datos de usuario. A partir de esta negociación, el tráfico viaja cifrado. Descarga esta traza con tráfico SSH y abrila con Wireshark.

Ahora en este punto lo que debemos averiguar es esto :

¿Podes ver a partir de qué paquete comienza el tráfico cifrado?

¿Qué protocolos viajan cifrados, todos (IP, TCP…) o alguno en particular?

¿Es posible ver alguna información de usuario como contraseñas de acceso?

Abrimos la traza de tráfico SSH y podemos filtrar poniendo : «SSH» lo que nos muestra que a partir del paquete número 20 comienza el tráfico cifrado :

7

Luego podemos ver que protocolos están viajando por los paquetes, lo único que podemos apreciar es que viaja en SSHv2.

Para la última pregunta, al estar encriptados los paquetes, no es posible obtener información de contaseñas de acceso.

¡Saludos y espero qué le haya servido!