Lab 04. Herramientas de Seguridad. Área de Telemática. Seguridad de la información Universidad de Antioquia

Transcripción

1 Lab 04 Herramientas de Seguridad Área de Telemática Seguridad de la información Universidad de Antioquia

2 Actividad 01: Interceptación de tráfico a. Implementar la red sugerida en la figura. En la estación definida como FTP Server descargue la aplicación Quick n Easy FTP Server y cree un usuario identificado como clase con todos los permisos y asígnele como contraseña de acceso la palabra seguridad e inicie un proceso de captura de paquetes de la red mediante la utilidad Wireshark. Finalmente en la estación identificada como Client, inicie a través de la consola (DOS) una petición al servidor FTP autenticándose de manera correcta. Logró la estación identificada como Man in the Middle capturar el proceso de autenticación entre Client y FTP Server? Actividad 02: Envenenamiento ARP b. Determine la dirección MAC de cada una de las estaciones ilustradas en la figura. Equipo Dirección IP Dirección MAC FTP Server Client Dd Man in the Meddle

3 c. Establezca desde Client una conexón a la estación FTP Server e inmediatamente determine en cada estación de la red el contenido de su tabla ARP mediante la ejecución del comando arp a. Luego finalice la conexón FTP Equipo FTP Server Client Man in the Middle Tabla ARP d. En la estación definida com Man in The Middle (Distribución del Curso) abra la aplicación Ettercap (Menú > Seguridad > ettercap)

4 Click en la pestaña Sniff > Unified Sniffing y selecciona la interfaz Al dar click en Aceptar debe ver la notificación de Listening on eth0 en la consola de ettercap como lo muestra la figura

5 Verificar los equipos que existen en la red, para lograr esto se hace lo siguiente haga Click en la pestaña Hosts > Scan for hosts Después del scaneo de los host, se da click en la pestaña Hosts > Host list

6 Se adiciona como targets los hosts entre los cuales se hará el envenenamiento ARP (FtpServer Client) seleccionando la maquina FtpServer y dando click en el boton Add to Target 1, después se selecciona la maquina Client y se da click en Add Target 2 Se Verifica la configuración en la pesta Targets > Current Targets como lo muestra la figura Se inicia el Sniffer en la pestaña Start > Start Sniffing

7 Se activa el envenenamiento ARP en la pestaña Mitm > Arp poisoning y se marca Sniff remote connections Finalmente Ettercap debe mostrar en su consola la configuración del envenenamiento ARP

8 Observe de nuevo las tablas ARP, nota algún cambio? Equipo FTP Server Client Man in the Middle Tabla ARP e. Con el proceso de envenenamiento ARP activo, en la estación definida como Man in the Middle inicie un proceso de captura de paquetes de la red mediante la utilidad Wireshark. Y nuevamente en la estación identificada como Client, inicie a través de la consola (DOS) una petición al servidor FTP autenticándose de manera correcta y responda los siguientes interrogantes. Logró ahora la estación identificada como Man in the Middle capturar mediante la utilidad WireShark el proceso de autenticación entre Client y FTP Server? En la información capturada mediante WireShark se puede determinar el identificador de usuario y la contraseña de acceso al FTP Server? Nota: Ettercap de manera mucho más simple te arroja el usuario y contraseña capturados mediante el procedimiento Man in the Meddle. Simplemente observa la salida de la consola de Ettercap Actividad 03: Interceptación de tráfico avanzada Para el escenario implementado en este laboratorio, realice los procedimientos que se describen a continuación:

9 En la estación definida como FTP Server, cree en su carpeta de acceso público un archivo llamado lab07.docx cuyo contenido sea el mensaje Este archivo contiene información confidencial muy importante. Será que puede su contenido ser interceptado fácilmente? En la estación definida como Man in the Middle inicie un proceso de envenenamiento ARP, mediante la utilidad Ettercap, entre las estaciones Client y FTP Server. Luego inicie en esta estación la captura de paquetes de la red mediante la utilidad WireShark. Finalmente, en la estación identificada como Client, inicie a través de la consola (DOS) una petición al servidor FTP autenticándose de manera correcta, listando los ficheros disponibles y descargando el archivo lab07.docx. Tal como se ilustra a continuación: f. Con la información obtenida en la estación Man in the Middle mediante WireShark, realice el siguiente procedimiento (Click derecho sobre un paquete FTP > Follow TCP Stream) en la sesión FTP para responder los interrogantes abajo planteados.

10 Puede la estación Man in the Middle determinar fácilmente cada uno de los pasos realizados por Client en la transacción FTP? Cómo se podría determinar el contenido del archivo que fue descargado previamente por Client? Abra nuevamente el archivo lab07.docx, guardelo como lab07.doc y repita el procedimiento anterior, nota alguna diferencia? Actividad 04: Desafío g. Para el escenario propuesto, el equipo de CSI le ha asignado a usted como especialista en seguridad de redes la captura de una transacción informática muy valiosa que permitirá determinar la ubicación de un grupo de analistas informáticos que está haciendo de las suyas. CSI solo tiene información de que un integrante de la organización hará uso de un servidor FTP para descargar la ubicación de un sitio de reunión. Pero de acuerdo al modos operandi de los demás miembros del grupo, una vez se ha descargado la información ésta es inmediatamente eliminada del servidor. De aquí que el capturar el usuario y la contraseña para acceder a dicha información no es un componente valioso para la investigación. Además, los miembros de la organización han estado moviendo de lugar el servidor FTP e incluso parece que lo están instalando en un puerto no reservado (mayor a 1024).

11 Indique mediante un diagrama de flujo la estrategia utilizada por su quipo para lograr interceptar el archivo de interés. Recuerde que ustedes solo tendrán acceso a la estación identificada como Man in the Middle Cuál es la ubicación del sitio de reunión? Cuáles, considera usted, fueron las técnicas de ataques utilizadas en este laboratorio (sniffing, snooping, scanning, tampering, spoofing, etc)? Cuál o cuáles pueden ser las contramedidas que se pueden utilizar para solucionar esta falla de seguridad? Describa el procedimiento utilizado para implementar una de las contramedidas mencionadas Nota: Para este item es preciso utilizar una herramienta de scanning como NMAP ya que es necesario determinar en cuál de los host está corriendo el servidor FTP.