Unidad 2 - Tarea 1: Capturando Tráfico con Wireshark

Primera parte: Analizando un protocolo inseguro - Telnet

Para empezar con esta tarea debemos instalar la herramienta Wireshark, la cual nos permite capturar todo el tráfico que ocurre en una red.
La instalación es muy sencilla, en mi caso que estoy usando Ubuntu, solo basta con ejecutar el siguiente comando:

sudo apt-get install wireshark

Como vemos ya yo lo tenía instalado.


En esta primera tarea utilizaremos una traza (captura) ya realizada con anterioridad telnet-raw.pcap donde se analizará en específico el protocolo Telnet.


Ahora procedemos a abrir nuestro Wireshark y abriremos el archivo de la captura que habíamos descargado.

Una vez abierto el sniffer (Wireshark) y abierto la captura nos vamos a la opción Analyze -> Follow -> TPC Stream y nos muestra la siguiente ventana:

Como podemos observar los datos de ingreso al servidor Telnet fueron:
Usuario: fake
Contraseña: user

El Sistema Operativo que corre la máquina servidor es: OpenBSD/i386
Y los comandos que se utilizaron en esa sesión fueron:
ls        (el cual sirve para listar el contenido de una ruta o carpeta en específico)
ls -a    (el cual sirve para listar el contenido de una ruta o carpeta en específico incluyendo archivos o carpetas ocultas)
/sbin/ping www.yahoo.com    (efectúa un ping a la página de yahoo)




Segunda Parte: Analizando SSL

En la segunda parte analizaremos la siguiente traza con tráfico SSL, donde veremos la forma como se cifra la información enviada a través de protocolos como el HTTP.

Como se observa, el servidor envía el certificado en el paquete 2 de la trama de SSL.

• ¿El certificado va en claro o está cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?

 El certificado está cifrado con el algoritmo sha1WithRSAEncryption, y la autoridad de certificación es www.verisign.com

• ¿Qué asegura el certificado, la identidad del servidor o del cliente?

 El certificado asegura la identidad del servidor, pues de esta manera podemos estar seguros que el sitio al cual estamos accediendo es el auténtico y no uno falsificado.




Tercra Parte: Analizando SSH

SSH es un protocolo de conexión remota, que a diferencia de Telnet, éste nos ofrece seguridad puesto que los datos tranferidos a través de SSH viajan de manera cifrada.
En esta parte analizaremos una traza con tráfico SSH.

• ¿Puedes ver a partir de qué paquete comienza el tráfico cifrado?

 Vemos que el tráfico cifrado comienza a partir del paquete número 13 hasta el paquete número 95.

• ¿Qué protocolos viajan cifrados, todos (IP, TCP...) o alguno en particular?

 Como podemos observar en la captura, el protocolo que viaja cifrado es el SSHv2, mientras que el protocolo TCP viaja sin cifrar.

• ¿Es posible ver alguna información de usuario como contraseñas de acceso?

 Como vemos el protocolo SSH es un protocolo muy seguro a la hora de establecer conexiones remotas, por tal motivo NO es posible obtener alguna información de usuarios o contraseñas de acceso.

Unidad 1, Tarea 3 - Criptografía

En esta tercera tarea tocamos temas de protección de datos utilizando la criptografía como técnica de cifrados de datos.

Para la realización de esta tarea utilizamos la herramienta GPG (GNU Privacy Guard), en mi caso estoy utilizando un entorno Ubuntu, y lo que debemos hacer primero es instalar la herramienta, esto lo hacemos con el siguiente comando:

sudo apt-get install gnupg

Como vemos GPG ya viene preinstalado en nuestro sistema.


1.  Creamos nuestro par de claves (públicas y privadas)

Aquí escogemos la opción una para crear una llave tipo RSA

 

Aquí le decimos cuántos bits de longitud tendrá nuestra clave, es mi caso escojo 2048

 

En esta parte se nos pregunta cuánto tiempo de vida (por así decirlo) tendrán nuestras llaves, para este ejemplo yo escojo 2w (que significa 2 semanas).

 

Nos pregunta que si en realidad nuestra clave tendrá 2 semanas y nos muestra la fecha que caducará, si es correcta escribimos "s" para confirmar

 

 Aquí especificamos un identificador que será el que se use para generar las claves, colocamos nombre y apellidos, correo electrónico y un comentario o frase que queramos.

 

Aquí confirmamos que usaremos esos datos presionando "v" para validar

Y listo, tenemos nuestra clave creada.

2. Exportamos la llave para poder enviarla utilizando el siguiente comando (debemos tener en cuenta el ID de nuestras llaves para poder utilizarlo al momento de exportar la llave, en este caso el ID es D9C24F00 ):

 gpg --output <nombre>.gpg --export ID_CALVE

En este caso el <nombre> puede ser el que ustedes escojan para su archivo, y el ID de la clave es el que da cuando ésta se genera.

 3. Compartir con alguien la clave y encriptar una archivo para que esa persona lo pueda ver.


4. Como vemos aquí tenemos nuestros archivos, archivo original (descifrado: datos.odt), archivo cifrado (datos.odt.gpg) y nuestra llave (Publickey.gpg)

Unidad 1 - Tarea 2: Sitios interesantes sobre Hacking Ético

Búsqueda y puesta en Común de Recursos

En mi poco tiempo en el mundo de la Seguridad Informática me he topado con plataformas y sitios donde ofrecen un sin fin de información y actualidad en este mundo, mi primer sitio que conocí fue Bactrack Academy, el cual es un sitio donde se puede encontrar variedad de cursos (algunos de pago) y cuenta también con foros de discusión de sus participantes.

El segundo sitio es Un Informático de Lado de Mal, del reconocido Hacker Chema Alonso, o mas bien conocido como "El Maligno Alonso", que fue uno de los que en su vez me recomendaron a mi al momento de ir entrando poco a poco en este maravilloso mundo de la Seguridad Informática. 

Y el último, es un grupo en la red social Facebook que se llama  Pentesting con Kali Linux, donde se abordan, comparten y colaboran multitud de personas con todo lo relacionado con la Seguridad Informática 

Unidad 1 - Tarea 1

Como primera tarea del MOOC de Hacking Ético de Mondragon Unibertsitatea nos proponen empezar obteniendo información de un servidor de la Universidad con fines educativos, "www.euskalert.net". Para empezar con la obtención de la información se realiza un PING para saber cuál es la dirección IP de dicho servidor, teniendo como resultados los siguientes datos:

Teniendo como resultado la dirección IP de dicho servidor la cual es: 193.146.78.12, y vemos que el servidor de la página no responde lo que podemos evidenciar también entrando desde nuestro navegador a la url de la página, teniendo como resultado lo siguiente:

Ahora utilizando la herramienta WHOIS  desde su versión web en http://ping.eu/ns-whois/  obtenemos la siguiente información del servidor de euskalert:


% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '193.146.78.0 - 193.146.78.255'

% Abuse contact for '193.146.78.0 - 193.146.78.255' is 'seguridad@rediris.es'

inetnum

193.146.78.0 - 193.146.78.255

netname

MGEP

descr

Mondragon Goi Eskola Polteknikoa

descr

JM Arizmendiarrieta, S. Coop.

descr

Mondragon

country

ES

admin-c

PA644-RIPE

tech-c

JL1370-RIPE

status

ASSIGNED PA

mnt-irt

IRT-IRIS

remarks

mail spam reports: iris@certsi.es

remarks

security incidents: iris@certsi.es

mnt-by

REDIRIS-NMC

created

1970-01-01T00:00:00Z

last-modified

2016-08-17T11:00:15Z

source

RIPE # Filtered

person

Jesus Lizarraga

address

Mondragon Eskola Politeknikoa

address

Loramendi, 4

address

E-20500 Mondragon

address

SPAIN

phone

+34 943794700

fax-no

+34 943791536

nic-hdl

JL1370-RIPE

abuse-mailbox

abuse@rediris.es

mnt-by

REDIRIS-NMC

created

1970-01-01T00:00:00Z

last-modified

2005-06-10T18:32:13Z

source

RIPE # Filtered

person

Pedro Amallobieta

address

Mondragon Eskola Politeknikoa

address

Loramendi, 4

address

E-20500 Mondragon

address

SPAIN

phone

+34 943794700

fax-no

+34 943791536

nic-hdl

PA644-RIPE

abuse-mailbox

abuse@rediris.es

mnt-by

REDIRIS-NMC

created

1970-01-01T00:00:00Z

last-modified

2005-06-10T18:32:13Z

source

RIPE # Filtered

% Information related to '193.144.0.0/14AS766'

route

193.144.0.0/14

descr

RedIRIS Provider Block

origin

AS766

mnt-by

REDIRIS-NMC

created

1970-01-01T00:00:00Z

last-modified

2004-07-29T09:48:00Z

source

RIPE

% This query was served by the RIPE Database Query Service version 1.87.4 (ANGUS)

Escaneo con nMap al servidor de Euskalert.net

 

 

Al momento de realizar el scaner con nMap al servidor de Euskalert nos damos cuenta que tiene abierto el puerto 80 que está corriendo un servicio http, y está utilizando una versión 2.4.7 de Apache para Ubuntu.
También observamos que el SO que tiene ese servidor es un Linux