Lo primero...
¿Que es Wireshark?
|
Wireshark |
Wireshark(
descarga), es una herramienta multiplataforma utilizada para realizar análisis sobre paquetes de red. La utilización de esta herramienta puede parecer de gran complejidad en un principio, pero es de gran utilidad una vez conocida su interfaz y su forma de operar. La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras).
Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.
manos a la obra...
Primera parte: analizando un protocolo inseguro - Telnet.
Telnet (Telecommunication Network) es el nombre de un protocolo de red que nos permite viajar a otra máquina para manejarla remotamente como si estuviéramos sentados delante de ella en modo consola.
Funcionamiento
Telnet sólo sirve para acceder en modo terminal, es una herramienta muy útil para arreglar fallos a distancia. También se usaba para consultar datos a distancia, en general telnet se ha utilizado (y aún hoy se puede utilizar en su variante SSH) para abrir una sesión con una máquina UNIX, de modo que múltiples usuarios con cuenta en la máquina, se conectan, abren sesión y pueden trabajar utilizando esa máquina. Es una forma muy usual de trabajar con sistemas UNIX.
Problemas de seguridad
Su mayor problema es de seguridad, ya que todos los nombres de usuario y contraseñas necesarias para entrar en las máquinas viajan por la red como texto plano (cadenas de texto sin cifrar). Esto facilita que cualquiera que espíe el tráfico de la red pueda obtener los nombres de usuario y contraseñas, y así acceder él también a todas esas máquinas. Por esta razón dejó de usarse, casi totalmente, hace unos años.
Como puedes ver, la elección de una aplicación no segura como Telnet puede llevar a la difusión de información importante, como información de acceso, sistemas operativos, etc., en este caso a través del tráfico intercambiado.
En esta tarea no vamos a realizar capturas en vivo de tráfico, sino que vamos a analizar trazas (capturas) ya realizadas con anterioridad y salvadas en archivos. En este caso, vamos a usar la traza telnet-raw.pcap, del repositorio de capturas disponible en Wireshark.
Descárgate la traza en tu ordenador y ábrela con Wireshark. Esta traza ha capturado el tráfico de una sesión de Telnet entre el cliente y el servidor.
Traza
Un consejo: para observar mejor el tráfico de Telnet, puedes usar un filtro muy sencillo de visualización, como puedes ver en la imagen:
|
Interfaz Wireshark |
Video inroductorio wireshark (en ingles, muy ilustrativo).
- Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
- ¿Qué sistema operativo corre en la máquina?
- ¿Qué comandos se ejecutan en esta sesión?
Para responder las preguntas debemos hacer uso de una herramienta poderosa de WireShark
Follow TCP Stream que me permite seguir el flujo de un paquete elejido para su revisión y me muestra un resumen de lo capturado de una forma mas comprensible.
|
Ejecutando Follow TCP Stream.
|
|
Rsultado Follow TCP Stream |
Respuestas
- Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
R: User: fake Password: user
- ¿Qué sistema operativo corre en la máquina?
R: OpenBSD 2.6-beta (OOF) #4: Tue Oct 12 20:42:32 CDT 1999
- ¿Qué comandos se ejecutan en esta sesión?
R: ping, ls, ls -a, exit
Fin Tarea 1, 1ra parte, Unidad 2