Esta vez os dejo una prática de redes sobre seguridad, mediante los Sniffers Wireshark y Tcpdump usado sobre dos equipos de nuestra red, podemos ver la captura de datos,usuario y contraseña de FTP,HTTP y los distintos protocolos de comunicación que se establecen durante dicha conexión.
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Analisis de red mediante Wireshark y Tcpdump
1. Tarea 1. Captura de PDU
mediante ping
Nombre: Javier Martin Rivero
Paso 1: Después de asegurarse de que la topología y configuración de laboratorio
estándar son correctas, inicie Wireshark en un equipo en un módulo de laboratorio.
2. Configure las opciones de captura como se describe arriba en la descripción general e inicie el
proceso de captura. Desde la línea de comando del equipo, haga ping en la dirección IP de otra
red conectada y encienda el dispositivo final en la topología de laboratorio. En este caso, haga
ping a otra máquina virtual o equipo real del aula. Después de recibir las respuestas exitosas al
ping en la ventana de línea de comandos, detenga la captura del paquete.
Paso 2: Examine el panel Lista de paquetes. Observe los paquetes de la lista con
protocolo ICMP.
¿Qué protocolo se utiliza por ping?
ICMP
¿Cuál es el nombre completo del protocolo?
Internal Control Message Protocol
¿Cuáles son los nombres de los dos mensajes ping?
3. Echo (ping) request
Echo (ping) reply
¿Las direcciones IP de origen y destino que se encuentran en la lista son las que esperaba?
Sí / No ¿Por qué?
Si porque la dirrecion Ip de origen es la de mi maquina virtual XP y la de destino la de mi
maquina virtual Ubuntu. Las dos estan en la misma red.
Paso 3: Seleccione (resalte) con el mouse el primer paquete de solicitud de eco en la
lista.
4. Localice los dos tipos diferentes de “Origen” y “Destino”. ¿Por qué hay dos tipos?
Por que la Ip y la mac de origen y destino son distintas.
¿Cuáles son los protocolos que están en la trama de Ethernet?
IP y ICMP
Si selecciona una línea en el panel de Detalles del paquete, toda o parte de la información en el
panel de Bytes del paquete también quedará resaltada. Por ejemplo, si la segunda línea (+
Ethernet II) está resaltada en el panel de detalles, el panel de Bytes resalta ahora los valores
correspondientes. Esto muestra los valores binarios particulares que representan la
información de la PDU. En esta etapa del curso no es necesario entender esta información en
detalle.
5. Paso 4: Vaya al menú Archivo y seleccione Cerrar. Haga clic en Continuar sin guardar
cuando se muestre esta casilla de mensaje.
6. Paso 4. Cree un filtro para que sólo su muestren los protocolos relevantes del
ping.
Paso 5: Vaya al menú Archivo y seleccione Cerrar. Haga clic en Continuar sin guardar
cuando se muestre esta casilla de mensaje.
Tarea 2: Captura de FTP PDU
7. Paso 1. Instale el servidor GUILDFTP FTP en su máquina o en otra máquina virtual.
Instale el filezilla cliente u otro en la máquina donde tiene el instalado el Wireshark.
9. Inicie una nueva captura en Wireshark. Abra el Filezilla client e ingrese la IP de la
máquina donde está el servidor FTP. Ingrese un nombre de usuario y contraseña válidos.
Descargue un archivo del servidor.
Paso 3: Aumente el tamaño del panel de Lista de paquetes de Wireshark y desplácese
por las PDU que se encuentren en la lista.
Localice y tome nota de las PDU asociadas con la descarga del archivo. Éstas serán las PDU
del protocolo TCP de Capa 4 y del protocolo FTP de Capa 7 OSI. Identifique los tres grupos
de PDU asociados con la transferencia del archivo.
El primer grupo está asociado con la fase “conexión” y el inicio de sesión en el servidor. Haga
una lista de ejemplos de mensajes intercambiados en esta fase.
192.168.1.34 192.168.1.35 FTP Response: 220-GuildFTPd FTP Server (c) 1997-2002
192.168.1.34 192.168.1.35 FTP Response: 220 Please enter your name:
192.168.1.35 192.168.1.34 FTP Request: USER JavierM
192.168.1.34 192.168.1.35 FTP Response: 331 User name okay, Need password.
192.168.1.35 192.168.1.34 FTP Request: PASS malaga
192.168.1.34 192.168.1.35 FTP Response: 230 User logged in.
Localice y haga una lista de ejemplos de mensajes intercambiados en la segunda fase, que es el
pedido de descarga real y la transferencia de datos.
192.168.1.34 192.168.1.35 FTP
192.168.1.35 192.168.1.34 FTP
Response: 227 Entering Passive Mode (192,168,1,34,4,217)
Request: RETR FTPJMRPRUEBA.txt
10. 192.168.1.34 192.168.1.35 FTP Response: 150 Opening ascii mode data connection for
/FTPJMRPRUEBA.txt (13 bytes).
192.168.1.34 192.168.1.35 FTP Response: 226 Transfer complete. 13 bytes in 0 sec. (0.00
Kb/s).
192.168.1.34 192.168.1.35 FTP-DATA FTP Data: 63 bytes
El tercer grupo de PDU está relacionado con el cierre de sesión y la “desconexión”. Haga una
lista de ejemplos de mensajes intercambiados durante este proceso.
192.168.1.34 192.168.1.35 FTP
192.168.1.34 192.168.1.35 FTP
192.168.1.34 192.168.1.35 FTP
Response: 221 221-Inactivity time exceeded - Auto kicked
Request: QUIT!
Response: 221 Goodbye!
Localice los intercambios TCP recurrentes a través del proceso FTP. ¿Qué característica de
TCP indica esto?
La caracteristica principal es que el protocolo tcp cambia o modifica para poder lograr el
intercambio de archivos.
Resalte los paquetes que contengan el nombre de usuario y contraseña. Examine la porción
resaltada en el panel Byte del paquete. ¿Qué dice esto sobre la seguridad de este proceso de
inicio de sesión FTP?
Esto indica que el protocolo FTP es muy inseguro ya que no protege o encripta la contraseña
como por ejemplo el protocolo HTTPS que si lo hace.
Resalte un paquete asociado con la segunda fase. Desde cualquier panel, localice el paquete
que contenga el nombre del archivo. El nombre del archivo es:
FTPJMRPRUEBA.TXT es el nombre del archivo que hemos subido al servidor.
Resalte un paquete que contenga el contenido real del archivo. Observe el texto simple visible
11. en el panel Byte. Resalte y examine en los paneles Detalles y Byte; algunos de los paquetes
intercambiados en la tercera fase de la descarga del archivo. ¿Qué características distinguen
al contenido de estos paquetes?
Cada pdu tiene su propio codigo.
Paso 5: Crea un filtro compuesto que le permita hacer un filtrado relevante de ciertos
de los paquetes de esta captura.
Paso 6: Muestra algún tipo de estadísticas de esta captura.
12. En esta captura se ve como estadistica la fecha en la que sea creado y la hora, y el
tiempo que ha durado la captura y el numero de frame capturados.
Tarea 3: Captura de HTTP PDU
Paso 1: Inicie la captura de paquetes.
Considerando que Wireshark sigue en funcionamiento desde los pasos anteriores, inicia una
nueva captura. Entre en la plataforma moodle del instituto o bien cualquier otra página que
utilice el protocolo http y requiera introducir nombre y clave de usuario.
Abre tu navegador web y pon dicha IP. Una vez que la página Web se haya descargado por
completo, detenga la captura del paquete Wireshark.
13. Paso 2: Localice e identifique los paquetes TCP y HTTP asociados con la descarga de la
página Web.
14. Paso 3: Utilizando un filtro/s muestra la página a la que se ha accedido y el nombre de
usuario y contraseña de acceso si se puede.
15. Paso 4: Ahora, comience una nueva captura, y abra una web donde en la URL del
navegador se muestre HTTPS y accede. Guarda la captura. Localice e identifique los
paquetes TCP y HTTP asociados con la descarga de la página Web. Es posible saber el nombre
de usuario y contraseña de acceso? ¿Por qué?
16. No es posible saber el nombre de usuario y contraseña en la plataforma moddle ya que va con
https, y encripta esa informacion. Este protocolo suele encontrarse en todas las paginas
bancarias.
Tarea 4. WIRESHARK EN LINUX.
PASO 1. INDICA CÓMO INSTALAS EL SERVICIO DE TELNET EN TU EQUIPO LINUX Y EN
TU EQUIPO WINDOWS. REALIZA UNA CAPTURA PARA ESTE PROTOCOLO PARA CADA UNA
DE ELLOS ACCEDIENDO DESDE EL OTRO.
Instalas en linux telnet accediendo a la consola de linea de comandos y pones sudo apt-get
install telnetd.
17. En windows xp instala Telnet accediendo a Panel de Control, Herramientas administrativas,
Servicios y desde ahi buscamos el servicio telnet y lo habilitamos.
18. PASO 2. AHORA, INDICA CÓMO INSTALAS EL SERVICIO DE SSH EN TU MÁQUINA LINUX.
REALIZA UNA NUEVA CAPTURA Y ACCEDE UTILIZANDO LA APLICACIÓN PUTTY DESDE TU
EQUIPO WINDOWS. GUARDA LA CAPTURA. APLICA UN FILTRO E INDICA QUÉ DIFERENCIA
OBSERVAS RESPECTO AL ACCESO TELNET?
Al igual que instalamos telnet, hacemos lo mismo con ssh, abrimos una consola de linea de
comandos y ponemos sudo apt-get install ssh .
19. Podemos ver en el wireshark que cuando capturamos los paquetes telnet muestra tanto el
usuario como contraseña esto quiere decir que el protocolo telnet es inseguro.
20. Hemos capturado en el wireshark los paquetes del protocolo ssh y podemos ver que todos los
paquetes que se han capturado esta encriptado entonces no podemos visualizar ni el nombre ni
la contraseña. El protocolo ssh es mas seguro que telnet porque encripta los paquetes e
imposibilita la visualizacion de la clave y el login.
Tarea 1.
En tu Linux probar la siguiente orden:
sudo tcpdump -ieth0 -A -s1500 port 21 2> tcpdump.txt 1>> tcpdump.txt
21. Los parámetros son:
-ieth0: para capturar los paquetes de la interfaz eth0
-A: para imprimir cada paquete en ASCII. En ocasiones suele ser útil utilizar -X, que imprime
los datos de cada paquete en hexadecimal y ASCII
-s1500: tamaño de los paquetes que va a recoger
port 21: para capturar los paquetes dirigidos al puerto 21 (ftp)
2> tcpdump.txt: para redireccionar el standar error a un archivo
1>> tcpdump.txt: para redireccionar el standar output a un archivo
Un archivo generado con tcpdump es posible de analizar, por ejemplo:
tcpdump src host IP
24. tcpdump proto ip tcp
tcpdump -r
Tarea 2.
En tu máquina Linux tienes funcionando tu servidor FTP además de tu wireshark, y ahora
desde tu máquina Windows accede desde el filezilla client.
Haz una captura con tcpdump y guarda la salida en un archivo llamado tcpdumftp.out
Las capturas de tcpdump se terminan con Control-C.
a) Ejecutar la orden tcpdump para capturar solo paquetes de tipo FTP
25. b) Capturar solo paquetes de destino a la red 172.16.0.0
c)
Captura sólo el tráfico dirigido a tu ordenador.
d)
Capturar sólo el tráfico dirigido al puerto 80.
26. Tarea 3.
Por último, instala en tu equipo Windows el escaneador de puertos portscan. PortScan es un
escáner de puertos y direcciones IP que analiza y encuentra todos los dispositivos activos en
tu red.
Ahora haz lo mismo pero para tu Linux. En este caso en la utilidad nmap.
Para instalarlo hacemos lo siguiente:
# apt-get install nmap
27. # apt-get install zenmap(es para tener su versión gráfica)
Una vez instalado si queremos ver los puertos abiertos en nuestra máquina ejecutamos:
#nmap -A localhost
En el listado de la imágen anterior podemos ver el número de puerto y protocolo, el estado del servicio y
su nombre. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado) o unfiltered (no
filtrado).
El estado “open” significa que el servicio se encuentra esperando conexiones o paquetes en ese puerto.
El estado “filtered” indica que un cortafuegos o filtro de red está bloqueando el acceso a dicho puerto.
28. El estado “closed” significa que el puerto está cerrado.
El estado “unfiltered” indica que nmap no puede determinar si el puerto está abierto o cerrado.
- El siguiente comando es muy útil para ver todos los dispositivos de nuestra red:
#nmap -v -sP 192.168.8.0/24
Muestra una captura de cada uno de ellos, para realizar un escáner “ICMP ECHO” de la red
172.16.102.0/24, y obtener el número de IPs disponibles es esta red.