Para esta tarea deberemos descargar un paquete ya capturado desde la pagina de wireshark,el archivo es telnet-raw.pcap. Luego abrimos este archivo desde wireshark.
una vez que tenemos el archivo abierto, nos concentraremos en el trafico TELNET el cual ocupa el puerto 23.
Si analizamos el trafico nos podemos da cuenta de muchas cosas, siempre y cuando el trafico viaje en texto plano.
Podemos ademas ver todo el trafico de forma mas simple en "Follow TCP Stream"
Ahora nos podemos hacer las siguientes preguntas:
¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
usuario: fake password: user
¿Qué sistema operativo corre en la máquina?
sistema operativo linux openbsd 2.6 beta
¿Qué comandos se ejecutan en esta sesión?
ping
ls
ls -a
exit
SEGUNDA PARTE SSL
En la segunda parte de esta tarea analizaremos un tráfico SSL, para eso descargaremos de la pagina de wireshark el archivo x509-with-logo.cap. SSL que significa Secure Socket Layer es un protocolo criptografico, que proporciona comunicación segura por una red, como por ejemplo Internet a través de HTTP, se usan certificados 509, por lo tanto se usa cifrado asimétrico.
Ejemplo de un sitio con SSL:
Nos podemos dar cuenta del candado, es lo que denota que la pagina web usa SSL y es segura.
Ademas el protocolo HTTP estandar se convierte en HTTPS el cual indica que la comunicacion al servidor debe realizarse por SSL.
Ahora para el ejercicio, abrimos el archivo indicado:
Ahora nos podemos hacer las siguientes Preguntas:
¿Puedes identificar en qué paquete de la trama el servidor envía el certificado?
Si en el segundo paquete el servidor envía la trama como aparece en la imagen.
¿El certificado va en claro o está cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?
El certificado va cifrado con SHA con RSA y la autoridad que emite el certificado es VERISIGN
¿Qué asegura el certificado, la identidad del servidor o del cliente?
La identidad del servidor, debido a que el certificado SSL debe ser instalado en los servidores web
luego al intentar acceder a la pagina web, el certificado solictará establecer una conexión segura
con el navegador, lo que protegerá todo el trafico entre el navegador web y el servidor.
TERCERA PARTE SSH
En la tercera parte de la tarea analizaremos trafico SSH, para eso descargamos el archivo ssh.cap desde la pagina de wireshark. SSH (Secure Shell) es un protocolo seguro de comunicaciones que trabaja de forma similar a telnet, la diferencia es que ssh usa tecnicas de cifrado que hacen que la informacion que viaja por el medio de comunicacion no sea legible.
Una vez abierto el archivo con wireshark y analizado su trafico nos podemos hacer las siguientes preguntas:
¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?
Si en el paquete 20, como se puede mostrar en la imagen:
¿Qué protocolos viajan cifrados, todos (IP, TCP...) o alguno en particular?
El protocolo que viaja cifrado es SSH.
¿Es posible ver alguna información de usuario como contraseñas de acceso?
Al viajar la información cifrada es dificil poder ver a simple vista las contraseñas. Ya hay que emplear tecnicas mas avanzadas como un Replay Atack.
