9.1.1.8 Lab - Examining Telnet and SSH in Wireshark

 

Práctica de laboratorio: Examinar Telnet y SSH en Wireshark Objetivos Parte 1: Examinar una sesión de Telnet con Wireshark Parte 2: Examinar una sesión de SSH con Wireshark

Antecedentes / Escenario En esta actividad de laboratorio configurarán un router para que acepte conectividad de SSH y Wireshark para capturar y ver sesiones de Telnet y SSH. Esto demostrará la importancia del cifrado con SSH.

Recursos necesarios 

VM CyberOps Workstation

Part Pa rte e1 1::

Ex Exam amin inar ar un una as ses esió ión nd de e Tel Telnet net con con W Wir ires eshar hark k

Utilizarán Wireshark para capturar y ver los datos transmitidos de una sesión de Telnet.

Paso 1: 1:

Capturar da datos

a.

Abran la VM Cyber CyberOps Ops Worksta Workstation tion VM e inicien inicien sesión sesión con con analyst analyst como  como usuario y cyberops cyberops como  como contraseña.

b.

Abran una ventana ventana del del ter terminal minal e inicien inicien Wiresha Wireshark. rk. Presio Presionen nen OK OK (Aceptar)  (Aceptar) para continuar después de leer el mensaje de advertencia.

 Cis  Cisco co

y/o y/o s sus us ffil ilia iale les. s. T Tod odos os llos os der derec echo hos s re rese serv rvad ados os.. In Info form rmac ació ión n co conf nfid iden encia ciall de C Cis isco co

Pági Página na 1 de 5

www.netacad.com

 

Práctica de laboratorio: Examinar Telnet y SSH en Wireshark [analyst@secOps analyst]$ sudo wireshark-gtk [sudo] password for analyst: cyberops ** (wireshark-gtk:950): WARNING **: Couldn't connect to accessibility bus: Failed to connect to socket /tmp/dbus-REDRWOHelr: Connection refused Gtk-Message: GtkDialog mapped without a transient parent. This is discouraged.

c.

Inicie Inicien n una capt captura ura de de Wir Wiresh eshark ark e en n la in inter terfaz faz Loopback: lo. lo.

d.

Abran ot otra ra vent ventana ana del ter terminal minal.. Inici Inicien en una sesión sesión de Telnet Telnet a host local. local. Intro Introduzcan duzcan el no nombre mbre de usuario analyst analyst y  y la contraseña cyberops cyberops cuando  cuando el sistema se los solicite. Tenga en cuenta que puede tardar varios minutos para que aparezcan los indicadores "conectado al host local" e inicio de sesión. [analyst@secOps ~]$ telnet localhost Trying ::1... Connected to localhost. Escape character is '^]'. Linux 4.10.10-1-ARCH (unallocated.barefruit.co.uk) (pts/12) secOps login: analyst Password: Last login: Fri Apr 28 10:50:52 from localhost.localdomain [analyst@secOps ~]$

e.

 Cis  Cisco co

Deten Detengan gan la captura captura de Wir Wireshar eshark k después de haber haber ingr ingresado esado las credenci credenciales ales de usuario. usuario.

y/o y/o s sus us ffil ilia iale les. s. T Tod odos os llos os der derec echo hos s re rese serv rvad ados os.. In Info form rmac ació ión n co conf nfid iden encia ciall de C Cis isco co

Pági Página na 2 de 5

www.netacad.com

 

Práctica de laboratorio: Examinar Telnet y SSH en Wireshark

Paso Pa so 2: a.

Exam Examin inar ar la sesi sesión ón de Teln Telnet et

Apli Apliquen quen un fil filtro tro que solo solo muestre muestre tráfi tráfico co relacionad relacionado o con Telne Telnet. t. Introduzca Introduzca Telnet en el campo de filtro y haga clic en Aplicar .

b. Hag Hagan an cl clic ic de dere recho cho s sobr obre e una de de las lín líneas eas Telnet Telnet en  en la sección Packet list (Lista list (Lista de paquetes) de Wireshark y, en la lista desplegable, seleccionen Follow TCP Stream (Seguir Stream (Seguir flujo de TCP). c.

En la ven ventana tana Follow Follow TCP TCP Stream Stream se muestra muestran n los datos datos para su sesión sesión de T Telnet elnet c con on la VM CyberOps Workstation. Toda la sesión se muestran como texto plano, incluida la contraseña. Observen que el nombre de usuario que introdujeron aparece con caracteres duplicados. Esto se debe al ajuste de eco en Telnet para permitirle ver los caracteres que escribe en la pantalla.

d.

Cuand Cuando o termine termine de revi revisar sar la la sesión sesión de Teln Telnet et en lla a vent ventana ana Follow TCP Stream(Seguir Stream(Seguir stream de TCP), haga clic en Close Close (Cerrar).  (Cerrar).

e.

Escriban exit exit en  en el terminal para salir de la sesión de Telnet Telnet.. [analyst@secOps ~]$ exit

Part Pa rte e 2:

Ex Exam amin inar ar u una na s ses esió ión n de SS SSH H co con n Wi Wire resh shar ark k

En la Parte 2 establecerán una sesión de SSH con el host local. Se usará Wireshark para capturar y ver los datos de esta sesión de SSH. a. Inicie Inicien n otra otra captu captura ra de de Wires Wireshar hark. k. b.

Estab Establecer lecerán án una sesión sesión de SSH con el host host local. E En n el cursor del del termi terminal, nal, in introduz troduzcan can ssh localhost. localhost. Introduzcan yes yes (sí)  (sí) para seguir con la conexión. Introduzcan cyberops cyberops cuando  cuando el sistema se los solicite. [analyst@secOps ~]$ ssh localhost The authenticity of host 'localhost (::1)' can't be established. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.

 Cis  Cisco co

y/o y/o s sus us ffil ilia iale les. s. T Tod odos os llos os der derec echo hos s re rese serv rvad ados os.. In Info form rmac ació ión n co conf nfid iden encia ciall de C Cis isco co

Pági Página na 3 de 5

www.netacad.com

 

Práctica de laboratorio: Examinar Telnet y SSH en Wireshark analyst@localhost's password:

c.

Deteng Detengan an la cap captur tura a de Wi Wires reshar hark. k.

d.

Apli Apliquen quen un fi filtro ltro de S SSH SH a los datos datos de la c captur aptura a de Wire Wireshark shark.. Intr Introduzca oduzca ssh ssh en  en el campo de filtro y haga clic en Aplicar .

 Cis  Cisco co

y/o y/o s sus us ffil ilia iale les. s. T Tod odos os llos os der derec echo hos s re rese serv rvad ados os.. In Info form rmac ació ión n co conf nfid iden encia ciall de C Cis isco co

Pági Página na 4 de 5

www.netacad.com

 

Práctica de laboratorio: Examinar Telnet y SSH en Wireshark e.

Haga clic con el el bot botón ón derecho derecho e en n una de las las líneas líneas SSHv2 SSHv2 y  y en la sección Packet list de list de Wireshark y, en la lista desplegable, seleccione Follow TCP Stream. Stream.

f.

Ex Exam amiine la ve vent ntan ana a Follow TCP Stream en Stream en la sesión de SSH. Los datos se cifraron y son ilegibles. Compare los datos de la sesión de SSH con los datos de la sesión de Telnet.

g.

Luego de h haber aber exami examinado nado su su ses sesión ión SSH, haga clic en Close Close (Cerrar).  (Cerrar).

h. Cier Cierre re Wi Wire resh shar ark. k.

Reflexión ¿Por qué se prefiere SSH en lugar de Telnet para conexiones remotas? Basado en la realización de esta actividad el riesgo de seguridad al usar Telnet para conexión remotas son muy alta, ya que así como en este experimento se logra capturar los paquetes de una interface local, así mismo sucede a nivel de red y como se puede evidenciar Telnet no cifra información por lo que recopilar y robar información legible generando un riesgo de seguridad muy alto al poder capturar no solo credenciales de acceso sino cualquier información que se transmita, al contrario que una conexión por SSH que si cifra los datos donde el resultado de la información capturado en el paquetes es ilegible lo que genera una mejora en la seguridad d de los datos tanto de acceso como los que se transmiten.

 Cis  Cisco co

y/o y/o s sus us ffil ilia iale les. s. T Tod odos os llos os der derec echo hos s re rese serv rvad ados os.. In Info form rmac ació ión n co conf nfid iden encia ciall de C Cis isco co

Pági Página na 5 de 5

www.netacad.com