El documento describe el uso del analizador de paquetes Wireshark. Explica qué es Wireshark, cómo capturar paquetes de red como ping y HTTP, y analizar los protocolos y mensajes intercambiados durante el inicio de sesión en FTP y Jabber para verificar la seguridad.
1. USO DE WIRESHARK HECTOR FABIO ARBELAEZ MENDOZA VIVIVANA JAEL ARIAS TRUJILLO OLGA LUCIA RINCON HAMON ADRIANA TRUJILLO DONCEL
2. QUE ES ELWIRESHARK? Es un analizador de paquetes. Que Permite capturar todas las tramas que circulan por la interfaz de red de la máquina virtual y decodificar multitud de protocolos. A pesar de que la mayoría de las muestras que establecen conexiones de datos con servidores utilizan cifrado o un protocolo propio y desconocido, en muchas ocasiones se pueden ver claramente consultas DNS, descargas de archivos desde ciertas direcciones, y sobre todo, aunque no se pueda siempre comprobar qué tipo de datos ocupan el tráfico, ver a qué servidores se conecta el equipo.
3. Captura de PDU mediante ping Ping a un PC de uso externo. USO DE WIRESHARK
4. USO DE WIRESHARK Responda lo siguiente desde la lista de paquetes Wireshark: ¿Qué protocolo se utiliza por ping? R/: Protocolo TCP/IP o ICM ¿Cuál es el nombre completo del protocolo? R/: Internet Control Message Protocol ¿Cuáles son los nombres de los dos mensajes ping? R/: Echo (ping) request y Echo (ping) replay ¿Las direcciones IP de origen y destino que se encuentran en la lista son las que esperaba? Sí¿Por qué? R/: Porque estas van conectadas por LAN entre ellas. Además de que el origen es la nueva ip y el destino es la ip a la cual afecta el ping.
5. USO DE WIRESHARK Captura de HTTP PDU Inicie la captura de paquetes.
6. USO DE WIRESHARK Aumente el tamaño del panel de Lista de paquetes de Wireshark y desplácese por las PDU que se encuentren en la lista.
7. USO DE WIRESHARK En el panel Lista de paquetes, resalte un paquete HTTP que tenga la notación “(text/html)” en la columna Información.
8. El tercer grupo de PDU está relacionado con el cierre de sesión y la “desconexión”. Haga una lista de ejemplos de mensajes intercambiados durante este proceso. USO DE WIRESHARK
9. Localice los intercambios TCP recurrentes a través del proceso FTP. ¿Qué característica de TCP indica esto? USO DE WIRESHARK
10. El primer grupo está asociado con la fase “conexión” y el inicio de sesión en el servidor.Haga una lista de ejemplos de mensajes intercambiados en esta fase.
11.
12.
13. Autenticación del servidor: Un usuario puede intentar iniciar sesión en un servidor. Un intermediario podría hacerse pasar por el servidor, sin que el usuario se entere. El usuario proveería datos valiosos (entre otros la contraseña) al intermediario malicioso sin darse cuenta en un primer momento. Si el intermediario adicionalmente se conecta al servidor real haciéndose pasar por el usuario legítimo de la cuenta, podría capturar toda la comunicación sin que nadie se diera cuenta. USO DE WIRESHARK
14. USO DE WIRESHARK Haga una lista de ejemplos de mensajes intercambiados durante este proceso. Veamos como es el inicio de sesión en Jabber. El cliente lo primero que hace es preguntar los sistemas de autenticación soportados por el servidor. También proporciona el nombre de usuario. <iq id='15' type='get'> <query xmlns='jabber:iq:auth'> <username>badlop</username> </query> </iq>
15. Veamos como es el inicio de sesión en Jabber. El servidor responde entre otras cosas que acepta el envio de la contraseña en texto plano y también resumen de contraseña (hash). <iqtype='result' id='15'> <query xmlns='jabber:iq:auth'> <username>badlop</username> <password/> <digest/> <resource/> </query> </iq>
16. Veamos como es el inicio de sesión en Jabber. El cliente ahora debe proporcionar la contraseña. Tiene dos posibilidades. Si se decide enviar la contraseña en texto plano, entonces se envía tal cual. Cualquier intermediario puede leerla sin problema (quien este conectado en la red local del cliente o del servidor, el ISP...): <iq id='16' type='set'> <query xmlns='jabber:iq:auth'> <username>badlop</username> <password>trAlaRi9923</password> <resource>casa/cocina</resource> </query> </iq>
17. Veamos como es el inicio de sesión en Jabber. Si se decide enviar el resumen de la contraseña, entonces no se envía la contraseña tal cual, sino el resultado de aplicarle algunas funciones matemáticas. No obstante, un intermediario podría copiar ese resumen y usarlo posteriormente para iniciar sesión haciéndose pasar por el usuario legítimo. <iq id='1' type='set'> <query xmlns='jabber:iq:auth'> <username>badlop</username> <digest>8712162796c9aa001afffc150a91584bc45f9527</digest> <resource>casa/cocina</resource> </query> </iq>
18. Veamos como es el inicio de sesión en Jabber. El servidor comprueba si la autenticación ha sido correcta y responde al cliente Que todo va bien: <iqtype='result' id='1'/> El cliente a partir de ese momento ya puede continuar con la inicialización de la sesión (solicitar la lista de contactos, etc). O que ha habido un error (la contraseña no es válida, el método de autenticación no está soportado, la cuenta no existe...) y el usuario no está autorizado: <iq id='1' type='error'> <query xmlns='jabber:iq:auth'> <username>badlop</username> <password>trAlaRi9923pepepe</password> <resource>casa/cocina</resource> </query> <error code='401'>Unauthorized</error> </iq>
19. Veamos como es el inicio de sesión en Jabber. Localice los intercambios TCP recurrentes a través del proceso FTP. ¿Qué característica de TCP indica esto?
20. Pasó 3: Examine los Detalles del paquete. ¿Cuáles son los protocolos encapsulados en la trama? Protocolo p.p.p () Frame 1 (62 bytes on wire, 62 bytes captured) Arrival Time: Mar 21, 2004 20:02:28.850908000 Time delta from previous packet: 0.000000000 seconds Time since reference or first frame: 0.000000000 seconds Frame Number: 1 Packet Length: 62 bytes Capture Length: 62 bytes Ethernet II, Src: 00:e0:4c:ec:bf:db, Dst: 00:a0:c9:49:c2:00 Destination: 00:a0:c9:49:c2:00 (192.168.0.10) Source: 00:e0:4c:ec:bf:db (RealtekS_ec:bf:db) Type: IP (0x0800) USO DE WIRESHARK