MoocHackingMU – Unidad 2 – Tarea 1- WireShark

Continuando con el MoocHackingMU, esta semana toca la Unidad 2,

Se supone que en esta ocasión hay que aprender a utilizar el Wireshark. Para eso os recomiendo la guía del Instituto Nacional de Tecnologías de la Información (INTECO).

Ademas en la página de descargas de Wireshark puedes descargar la versión para tu sistema operativo. Y en la ayuda oficial de Wireshark puedes consultar cómo se instala (es muy sencillo) y cómo se utiliza. También puedes ver este vídeo con una introducción al uso de Wireshark.

Con estos recursos podréis entender un poco el funcionamiento del programa.

Lo primero que hago es instalarlo en mi Linux Opensuse.

wireshark

Primera parte de la Tarea 1: analizando un protocolo inseguro – Telnet.

Básicamente lo que se debe hacer en esta ocasión es capturar el trafico de la red con el programa wireshark activado y nuestra tarjeta de red en modo promiscuo, para que todo el trafico que pase por la tarjeta sea analizado. Desde el Mooc nos solucionan este caso ofreciéndonos un archivo .cap de una captura sobre telnet, el cual debemos de analizar y encontrar estas cosas que nos piden.

¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?

Abrimos el archivo. cap con el wireshark y vemos que hay en la captura, por defecto una sesion de telnet muestra los datos carácter a carácter, por lo que es complicado ver el usuario/contraseña, pero el wireshark permite seguir el flujo TCP (Follow TCP Stream) simplemente con el botón derecho del Ratón sobre los paquetes de la sesión telnet.

tcp-streamCon lo cual tendremos visible la sesión de una manera continuada, y podremos localizar el usuario y la contraseña sin problema.

login1(protocolo de conexión nada seguro ya que el usuario y la contraseña se envían en texto plano….fácil de capturar) (en azul loq ue se muestra en pantalla y el rojo lo que el usuario introduce

login: fake

Password:user

¿Qué sistema operativo corre en la máquina?

Como ya tenemos toda la trama de manera continuada es también muy sencillo ver que sistema operativo corría en la maquina.

stream_wireshark

  OpenBSD 2.6-Beta

¿Qué comandos se ejecutan en esta sesión?

Del Mismo modo aprovechamos el TCP stream y vemos los comandos que se ejecutan y se muestran en pantalla:

comandos-telnet

Estos son de hecho los comandos que se utilizan:comandos

Segunda parte: analizando SSL.

En este caso tenemos que hacer lo mismo, analizar un archivo .cap de una captura SSL. Es un protocolo seguro que utilizan otros protocolos de aplicación como HTTPS. y se usa certificados digitales X.509 para asegurar la conexión.

Del mismo Modo si haces un TCP stream, vemos las tramas todas de manera global.

¿Puedes identificar en qué paquete de la trama el servidor envía el certificado?

En al trama Nº 3 se produce el envío del  certificado a través del Client Key Exchange.

envio del certificado

¿El certificado va en claro o está cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?

La información del certificado si es visible en la trama 2 cuando se produce el desafío para realizar la conexión, a través de SSL 3.o, y se envía al información en claro del certificado.

cer-autoinfo.cert

¿Qué asegura el certificado, la identidad del servidor o del cliente?

Con un certificado SSL lo que se asegura es el servidor, el cual gracias a ese certificado afirma que es quien dice ser, y esta avalado por una entidad certificadora que corrobora dicha afirmación. La autenticación de servidor permite a un usuario confirmar la identidad de un servidor. El software de cliente con SSL habilitado puede utilizar técnicas estándar de cifrado con clave pública, a fin de verificar que el certificado y la ID pública de un servidor son válidos y han sido emitidos por una entidad emisora de certificados (CA, por su sigla en inglés) que aparece en la lista de CAs confiables del cliente. Esta confirmación puede ser importante si el usuario, por ejemplo, está enviando un número de tarjeta de crédito por la red y desea verificar la identidad del servidor receptor.

Por eso siempre es recomendable realizar las conexiones web a través de HTTPS, en especial cuando nos recibimos un email de un sitio que nos dice que es, un banco, en ese caso debemos verificar que el certificado web es correcto.

 

Tercera parte: analizando SSH.

Este tercer análisis consiste en ver una captura de paquetes de un protocolo SSH, Como vemos en las primeras tramas de los paquetes desde la 4 hasta la 18 se produce los intercambios entre el cliente y el servidor para especificar el protocolo a utilizar y las llaves.

Del paquete 13 al 17 se utiliza el protocolo Diffie-Hellman, El sistema se basa en la idea de que dos interlocutores pueden generar conjuntamente una clave compartida sin que un intruso que esté escuchando las comunicaciones pueda llegar a obtenerla. De esta forma se protege del eavesdropping, por si alguien esta escuchango la conversación como es nuestro caso.

Diffie-Hellman no protege contra un ataque man-in-the middle.Este tipo de ataques se evitan mediante la verificación de clave de host. Esto se hace después del intercambio DH, por lo que es cifrada y no puede ser analizado con wireshark en este momento. (parafraseando la explicación de la wikipedia)

“Cada interlocutor elige un número público y un número privado. Usando una fórmula matemática, que incluye la exponenciación, cada interlocutor hace una serie de operaciones con los dos números públicos y el secreto. A continuación los interlocutores se intercambian los resultados de forma pública. A continuación ambos interlocutores utilizan por separado una fórmula matemática que combina los dos números transformados con su número secreto y al final los dos llegan al mismo número resultado que será la clave compartida.”

¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?

Por lo tanto explicando la captura del wireshark.

ssh

 

  • SSHv2 Client: Key Exchange Init

Varios parametros de Negociacion como la compresion y el algoritmo criptografico

  • SSHv2 Server: Key Exchange Init

Respuesta del Servidor

  • SSHv2 Client: Diffie-Hellman Key Exchange Init

Negociacion de los parametros del DH y operaciones matematicas.

  • SSHv2 Server: Diffie-Hellman Key Exchange Reply

Respuesta del Servidor

  • SSHv2 Client: Diffie-Hellman GEX Init

Primer intercambio con DH.

  • SSHv2 Server: Diffie-Hellman GEX Reply

Intercambio Finalizado. Después de recibir este paquetes ambos interlocutores conocen la clave secreta y establecen un pseudo canal seguro el cual protege contra eavesdropping.

  • SSHv2 Client: New Keys

Este es un simple mensaje ACK (acknowlegding message) confirmando estar preparado para la transmisión de datos cifrados.

Entonces podemos afirmar que el primer paquete de datos cifrado es en la trama 20.

¿Qué protocolos viajan cifrados, todos (IP, TCP…) o alguno en particular?

Los protocolos que van cifrados solo son los que utiliza el SSHV2 unicamente, esas tramas IP si van cifradas, pero otros tramas TCP no.

cifrado_ssh¿Es posible ver alguna información de usuario como contraseñas de acceso?

No es posible, ya que el protocolo SSH como he comentado anteriormente, crea un túnel cifrado y el usuario y la contraseña se envían a través de ese túnel.

Por ultimo os dejo los archivos .cap que se publicaron en el Mooc, telnet-raw.pcap, tráfico SSL, tráfico SSH

Con esto queda terminada esta tarea…

Alfonso López

Alfonso López

Instagram

Curso Superior Universitario en Auditoría y Seguridad Informática
MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

Latest posts by Alfonso López (see all)

También te podría gustar...

4 Respuestas

  1. IrineoFunes dice:

    Genial, me vienes complementando el curso. Y en esta etapa en particular me ayudaste bastante.

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies