Capturando tráfico con Wireshark
Wireshark es un analizador de protocolos muy popular. Es software libre y es una herramienta creada para investigar qué está pasando en una red (un analizador de paquetes de red o Sniffer). Básicamente permite ver en su interfaz el tráfico de una conexión, tanto por cable de red como por WiFi, y analizar en detalle los protocolos que se están utilizando para navegar (http, TCP, etc).
Entre otras cosa, un hacker lo que va a hacer es analizar el protocolo "http" de una red ya que en éste se transporta información no cifrada (en claro, texto plano) y desde ahí podría obtener información como usuarios y contraseñas. Todo lo que viaje por https (protocolo SSL = Secure Sockets Layer) está cifrado y por lo tanto un sniffer como Wireshark no puede saber qué información contienen esos paquetes.
Wireshark es un analizador de protocolos muy popular. Es software libre y es una herramienta creada para investigar qué está pasando en una red (un analizador de paquetes de red o Sniffer). Básicamente permite ver en su interfaz el tráfico de una conexión, tanto por cable de red como por WiFi, y analizar en detalle los protocolos que se están utilizando para navegar (http, TCP, etc).
Entre otras cosa, un hacker lo que va a hacer es analizar el protocolo "http" de una red ya que en éste se transporta información no cifrada (en claro, texto plano) y desde ahí podría obtener información como usuarios y contraseñas. Todo lo que viaje por https (protocolo SSL = Secure Sockets Layer) está cifrado y por lo tanto un sniffer como Wireshark no puede saber qué información contienen esos paquetes.
Primera parte: analizando un protocolo inseguro - Telnet
Con Wireshark se puede analizar el tráfico "en vivo" (mientras está sucediendo, por cable LAN o WiFi) y también por trazas ya capturadas y guardadas. Para el ejercicio se utilizó la siguiente traza Telnet:
Con Wireshark se puede analizar el tráfico "en vivo" (mientras está sucediendo, por cable LAN o WiFi) y también por trazas ya capturadas y guardadas. Para el ejercicio se utilizó la siguiente traza Telnet:
Seleccionamos el paquete que nos interesa y con click derecho > Follow TCP stream vemos los detalles de ese paquete en particular:
• ¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
Como se ve en el punto 1, el usuario es "ffaakkee" y la contraseña "user"
• ¿Qué sistema operativo corre en la máquina?
OpenBSD basado en Unix
• ¿Qué comandos se ejecutan en esta sesión?
ls (para listar archivos)
ls -a (muestra el listado de archivos, incluyendo los que comienzan con un punto (.) los cuales son ocultos)
ping a yahoo.com
Como se ve en el punto 1, el usuario es "ffaakkee" y la contraseña "user"
• ¿Qué sistema operativo corre en la máquina?
OpenBSD basado en Unix
• ¿Qué comandos se ejecutan en esta sesión?
ls (para listar archivos)
ls -a (muestra el listado de archivos, incluyendo los que comienzan con un punto (.) los cuales son ocultos)
ping a yahoo.com
Segunda parte: analizando SSL
SSL es un protocolo seguro que utilizan otros protocolos de aplicación como HTTP. Usa certificados digitales X.509 para asegurar la conexión. Traza para este ejercicio --> tráfico SSL
SSL es un protocolo seguro que utilizan otros protocolos de aplicación como HTTP. Usa certificados digitales X.509 para asegurar la conexión. Traza para este ejercicio --> tráfico SSL
¿Puedes identificar en qué paquete de la trama el servidor envía el certificado?
En el paquete Nº2
En el paquete Nº2
¿El certificado va en claro o está cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?
* El certificado está cifrado y es emitido por verisign.com
¿Qué asegura el certificado, la identidad del servidor o del cliente?
* La identidad del servidor (que el sitio o aplicaión es quien dice ser)
* El certificado está cifrado y es emitido por verisign.com
¿Qué asegura el certificado, la identidad del servidor o del cliente?
* La identidad del servidor (que el sitio o aplicaión es quien dice ser)
Tercera parte: analizando SSH
El protocolo SSH realiza una negociación previa al intercambio de datos de usuario. A partir de esta negociación, el tráfico viaja cifrado. Traza con tráfico SSH
El protocolo SSH realiza una negociación previa al intercambio de datos de usuario. A partir de esta negociación, el tráfico viaja cifrado. Traza con tráfico SSH
¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?
* A partir del paquete Nº3
* A partir del paquete Nº3
¿Qué protocolos viajan cifrados, todos (IP, TCP...) o alguno en particular?
* Todos
¿Es posible ver alguna información de usuario como contraseñas de acceso?
* No, la comunicación está totalmente cifrada
* Todos
¿Es posible ver alguna información de usuario como contraseñas de acceso?
* No, la comunicación está totalmente cifrada
Eso es todo por la tarea 1 de la 2º Unidad sobre análisis de tráfico (protocolos, certificados) con Wireshark. Agradezco comentarios de quienes estén más avanzados para ver donde la pifié o si está todo Ok. Slds!!
Fuente RSS
