El documento describe el uso del analizador de paquetes Wireshark. Explica qué es Wireshark, cómo capturar paquetes de red como ping y HTTP, y analizar los protocolos y mensajes intercambiados durante el inicio de sesión en FTP y Jabber para verificar la seguridad.
Charla dada en el Codemotion España que se celebró en Madrid el 21 y 22 /11/2014
Como tiene gifs animado, es recomendable descargar la presentación
Trata sobre el uso de herramientas de sistemas para hacer debugging
Esta vez os dejo una prática de redes sobre seguridad, mediante los Sniffers Wireshark y Tcpdump usado sobre dos equipos de nuestra red, podemos ver la captura de datos,usuario y contraseña de FTP,HTTP y los distintos protocolos de comunicación que se establecen durante dicha conexión.
Cómo montar una solución profesional de correo electrónico con software libre. Esta presentación se utilizó durante los cursos de Marzo del GUL de la Universidad Carlos III de Madrid.
Esta presentacion la prepare para el OWASP Latam, que se realizo en Peru en agosto 2011, esta vez prepraré un reciclado con su poco de update para el tema de MitM aplicado al Web Security. Espero sea de vuestro agrado.
Charla dada en el Codemotion España que se celebró en Madrid el 21 y 22 /11/2014
Como tiene gifs animado, es recomendable descargar la presentación
Trata sobre el uso de herramientas de sistemas para hacer debugging
Esta vez os dejo una prática de redes sobre seguridad, mediante los Sniffers Wireshark y Tcpdump usado sobre dos equipos de nuestra red, podemos ver la captura de datos,usuario y contraseña de FTP,HTTP y los distintos protocolos de comunicación que se establecen durante dicha conexión.
Cómo montar una solución profesional de correo electrónico con software libre. Esta presentación se utilizó durante los cursos de Marzo del GUL de la Universidad Carlos III de Madrid.
Esta presentacion la prepare para el OWASP Latam, que se realizo en Peru en agosto 2011, esta vez prepraré un reciclado con su poco de update para el tema de MitM aplicado al Web Security. Espero sea de vuestro agrado.
1. USO DE WIRESHARK HECTOR FABIO ARBELAEZ MENDOZA VIVIVANA JAEL ARIAS TRUJILLO OLGA LUCIA RINCON HAMON ADRIANA TRUJILLO DONCEL
2. QUE ES ELWIRESHARK? Es un analizador de paquetes. Que Permite capturar todas las tramas que circulan por la interfaz de red de la máquina virtual y decodificar multitud de protocolos. A pesar de que la mayoría de las muestras que establecen conexiones de datos con servidores utilizan cifrado o un protocolo propio y desconocido, en muchas ocasiones se pueden ver claramente consultas DNS, descargas de archivos desde ciertas direcciones, y sobre todo, aunque no se pueda siempre comprobar qué tipo de datos ocupan el tráfico, ver a qué servidores se conecta el equipo.
3. Captura de PDU mediante ping Ping a un PC de uso externo. USO DE WIRESHARK
4. USO DE WIRESHARK Responda lo siguiente desde la lista de paquetes Wireshark: ¿Qué protocolo se utiliza por ping? R/: Protocolo TCP/IP o ICM ¿Cuál es el nombre completo del protocolo? R/: Internet Control Message Protocol ¿Cuáles son los nombres de los dos mensajes ping? R/: Echo (ping) request y Echo (ping) replay ¿Las direcciones IP de origen y destino que se encuentran en la lista son las que esperaba? Sí¿Por qué? R/: Porque estas van conectadas por LAN entre ellas. Además de que el origen es la nueva ip y el destino es la ip a la cual afecta el ping.
5. USO DE WIRESHARK Captura de HTTP PDU Inicie la captura de paquetes.
6. USO DE WIRESHARK Aumente el tamaño del panel de Lista de paquetes de Wireshark y desplácese por las PDU que se encuentren en la lista.
7. USO DE WIRESHARK En el panel Lista de paquetes, resalte un paquete HTTP que tenga la notación “(text/html)” en la columna Información.
8. El tercer grupo de PDU está relacionado con el cierre de sesión y la “desconexión”. Haga una lista de ejemplos de mensajes intercambiados durante este proceso. USO DE WIRESHARK
9. Localice los intercambios TCP recurrentes a través del proceso FTP. ¿Qué característica de TCP indica esto? USO DE WIRESHARK
10. El primer grupo está asociado con la fase “conexión” y el inicio de sesión en el servidor.Haga una lista de ejemplos de mensajes intercambiados en esta fase.
11.
12.
13. Autenticación del servidor: Un usuario puede intentar iniciar sesión en un servidor. Un intermediario podría hacerse pasar por el servidor, sin que el usuario se entere. El usuario proveería datos valiosos (entre otros la contraseña) al intermediario malicioso sin darse cuenta en un primer momento. Si el intermediario adicionalmente se conecta al servidor real haciéndose pasar por el usuario legítimo de la cuenta, podría capturar toda la comunicación sin que nadie se diera cuenta. USO DE WIRESHARK
14. USO DE WIRESHARK Haga una lista de ejemplos de mensajes intercambiados durante este proceso. Veamos como es el inicio de sesión en Jabber. El cliente lo primero que hace es preguntar los sistemas de autenticación soportados por el servidor. También proporciona el nombre de usuario. <iq id='15' type='get'> <query xmlns='jabber:iq:auth'> <username>badlop</username> </query> </iq>
15. Veamos como es el inicio de sesión en Jabber. El servidor responde entre otras cosas que acepta el envio de la contraseña en texto plano y también resumen de contraseña (hash). <iqtype='result' id='15'> <query xmlns='jabber:iq:auth'> <username>badlop</username> <password/> <digest/> <resource/> </query> </iq>
16. Veamos como es el inicio de sesión en Jabber. El cliente ahora debe proporcionar la contraseña. Tiene dos posibilidades. Si se decide enviar la contraseña en texto plano, entonces se envía tal cual. Cualquier intermediario puede leerla sin problema (quien este conectado en la red local del cliente o del servidor, el ISP...): <iq id='16' type='set'> <query xmlns='jabber:iq:auth'> <username>badlop</username> <password>trAlaRi9923</password> <resource>casa/cocina</resource> </query> </iq>
17. Veamos como es el inicio de sesión en Jabber. Si se decide enviar el resumen de la contraseña, entonces no se envía la contraseña tal cual, sino el resultado de aplicarle algunas funciones matemáticas. No obstante, un intermediario podría copiar ese resumen y usarlo posteriormente para iniciar sesión haciéndose pasar por el usuario legítimo. <iq id='1' type='set'> <query xmlns='jabber:iq:auth'> <username>badlop</username> <digest>8712162796c9aa001afffc150a91584bc45f9527</digest> <resource>casa/cocina</resource> </query> </iq>
18. Veamos como es el inicio de sesión en Jabber. El servidor comprueba si la autenticación ha sido correcta y responde al cliente Que todo va bien: <iqtype='result' id='1'/> El cliente a partir de ese momento ya puede continuar con la inicialización de la sesión (solicitar la lista de contactos, etc). O que ha habido un error (la contraseña no es válida, el método de autenticación no está soportado, la cuenta no existe...) y el usuario no está autorizado: <iq id='1' type='error'> <query xmlns='jabber:iq:auth'> <username>badlop</username> <password>trAlaRi9923pepepe</password> <resource>casa/cocina</resource> </query> <error code='401'>Unauthorized</error> </iq>
19. Veamos como es el inicio de sesión en Jabber. Localice los intercambios TCP recurrentes a través del proceso FTP. ¿Qué característica de TCP indica esto?
20. Pasó 3: Examine los Detalles del paquete. ¿Cuáles son los protocolos encapsulados en la trama? Protocolo p.p.p () Frame 1 (62 bytes on wire, 62 bytes captured) Arrival Time: Mar 21, 2004 20:02:28.850908000 Time delta from previous packet: 0.000000000 seconds Time since reference or first frame: 0.000000000 seconds Frame Number: 1 Packet Length: 62 bytes Capture Length: 62 bytes Ethernet II, Src: 00:e0:4c:ec:bf:db, Dst: 00:a0:c9:49:c2:00 Destination: 00:a0:c9:49:c2:00 (192.168.0.10) Source: 00:e0:4c:ec:bf:db (RealtekS_ec:bf:db) Type: IP (0x0800) USO DE WIRESHARK