De nuevo… A tod@s Hola….
Hoy hablare y mostrare algunos ejemplos de los analizadores de protocolos. Herramienta utilizado para analizar (valga la redundancia) los paquetes o trazas que viajan por la red.
Wireshark antes conocido como Ethereal, es un analizador de protocolos muy popular. Es software libre y es una herramienta fantástica para investigar qué está pasando en una red y, también, para aprender sobre protocolos de comunicaciones.
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.
Link de descarga
Una vista de la intergaz de wireshark
Para este post usaremos un archivo de trazas capturadas con anterioridad, es decir, una vez realizamos la captura de las trazas de la red (sniffear), podemos almacenar dicha captura dentro de un archivo, para poder ser analizado después con wireshark.
- Caputra de Protocolo inseguro – Telnet (Descargar archivo aqui)
Para este ejercicio, daremos respuesta a las siguientes preguntas:
- ¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
- ¿Qué sistema operativo corre en la máquina?
- ¿Qué comandos se ejecutan en esta sesión?
Una vez abramos nuestro archivo (.cap) obtendremos la siguiente interfaz, la cual esta compuesta por las multiples tramas del procolo telnet que fueron capturadas al sniffear la red.
Ahora explicare un poco la interfaz, principalmente esta dividida en tres paneles.
- Compuesto de las diferentes tramas que fueron caputaradas
- Permite visualizar detalladamente las cabeceras que componen la trama seleccionada del panel 1.
- Nos permite ver el cuerpo del paquete
Para observar de manera mas especifica y comoda el trafico podemos realizar diferentes tipos de filtros. Para este ejemplo, aplicaremos el filtro para el protocolo
Damos click derecho en el panel dos(2), y Follow TCP stream. Esta opción funciona cuando estamos analizando protocolos basados en TCP, le permitirá ver el flujo de datos TCP de la manera mas similar a como se ve en la capa de aplicación:
Aquí visualizaremos muchísimo mas fácil el usuario, password y sistema operativo utilizado en la apertura de sesión de Telnet.
Usuario: fake
Contraseña: user
Sistema Operativo: OpenBSD
También podemos visualizar los comandos que fueron utilizados durante la sesión Telnet.
$ls
$ls -a
$ping http://www.yahoo.com
$exit
2. Captura de Protocolo seguro – SSL(Descargar archivo aqui)
Para tener en cuenta antes de continuar:
SSL (Secure Socket Layers) es un proceso que administra la seguridad de las transacciones que se realizan a través de Internet. El estándar SSL fue desarrollado por Netscape, junto conMastercard, Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pública que garantiza la seguridad de los datos que se envían a través de Internet. Su principio consiste en el establecimiento de un canal de comunicación seguro (cifrado) entre dos equipos (el cliente y el servidor) después de una fase de autenticación.
El sistema SSL es independiente del protocolo utilizado; esto significa que puede asegurar transacciones realizadas en la Web a través del protocolo HTTP y también conexiones a través de los protocolos FTP, POP e IMAP. SSL actúa como una capa adicional que permite garantizar la seguridad de los datos y que se ubica entre la capa de la aplicación y la capa de transporte ( por ejemplo, el protocolo TCP).
Aqui les dejo un enlace para que lean y entiendan el funcionamiento de este protocolo. De esta manera, sera un poco mas facil, entender la captura de Wireshark
https://publib.boulder.ibm.com/tividd/td/TRM/SC23-4822-00/es_ES/HTML/user277.htm
Para este ejercicio, daremos respuesta a las siguientes preguntas:
- ¿Puedes identificar en qué paquete de la trama el servidor envía el certificado?
- ¿El certificado va en claro o está cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?
- ¿Qué asegura el certificado, la identidad del servidor o del cliente?
A continuación veremos que en los paquetes 2, 11 y 18 de la captura se envía el certificado por parte del navegador.
Dando click derecho sobre la trama en el cual se encuentra el certificado, follow TCP stream, podemos evidenciar que el certificado se envia de manera cifrada (RSA) y que fue emitido por: www.versign.co
El certificado es asegurado por la identidad del servidor, sin embargo, el servidor tambien puede solicitar un certificado al cliente.
3. Captura de Protocolo seguro – SSH(Descargar archivo aqui)
Respondamos ahora las siguientes preguntas,
- ¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?
- ¿Qué protocolos viajan cifrados, todos (IP, TCP…) o alguno en particular?
- ¿Es posible ver alguna información de usuario como contraseñas de acceso?
Podemos evidencias a partir de que paquete comienza el trafico cifrado: numero veinte(20), para nuestro ejercicio
Para dar respuesta a nuestra segunda pregunta, debemos revisar detalladamente cada una de las tramas que hay un nuestra captura, al menos, algunas de cada protocolo, con el fin de visualizar que tramas viajan encriptadas y cuales no, culminando nuestro análisis, concluimos que viaja encriptada, únicamente las tramas del protocolo SSH
Nuestra ultima pregunta, se responde con las anteriores, como vimos, toda la información viaja encriptada, al menos para el protocolo SSH (en nuestro ejemplo), por lo tanto, es imposible visualizar o extraer contraseñas de nuestras tramas.
Pido disculpas por demorarme, por tardarme, prometo no volverlo a hacer. Esten pendientes de mi proximo Post
Saludos,
Neox.
Ethical/Hack 