5.3. Monitorizacion y Analisis de Trafico (Sniffing)¶
Objetivo: Comprender el funcionamiento del sniffing, analizar trafico de red con Wireshark e identificar la exposicion de credenciales en protocolos inseguros.
5.3.1. Que es el sniffing¶
El sniffing es la tecnica de captura y analisis del trafico que circula por una red. Puede utilizarse con fines legitimos (diagnostico, auditoria) o maliciosos (robo de informacion).
Un analizador de trafico permite ver los paquetes que viajan por la red y reconstruir las comunicaciones entre equipos.
Funcionamiento basico¶
En condiciones normales, una tarjeta de red solo procesa los paquetes dirigidos a su propia direccion MAC. Sin embargo, en modo promiscuo, la tarjeta captura todos los paquetes del segmento.
En redes modernas con switch, el sniffing directo es limitado. Para ampliar su alcance, un atacante puede utilizar tecnicas como ARP Spoofing para redirigir el trafico.
5.3.2. Informacion que puede capturarse¶
Dependiendo del protocolo utilizado, un atacante puede obtener:
| Tipo de dato | Ejemplo |
|---|---|
| Credenciales | Usuario y contraseña en FTP o Telnet |
| Contenido web | HTML, formularios HTTP |
| Cookies de sesion | Tokens de autenticacion |
| Consultas DNS | Dominios visitados |
| Metadatos | IP origen/destino, puertos |
Los protocolos cifrados (HTTPS, SSH, SFTP) protegen esta informacion, mostrando solo datos ilegibles.
5.3.3. Wireshark: analizador de protocolos¶
Wireshark es una herramienta grafica que permite capturar y analizar trafico en tiempo real.
Instalacion en Ubuntu 24¶
sudo apt update && sudo apt install wireshark -y
sudo usermod -aG wireshark $USER
(Es necesario cerrar sesion para aplicar cambios de grupo)
Interfaz principal¶
- Lista de paquetes capturados
- Detalle del paquete seleccionado (capas OSI)
- Datos en bruto (hexadecimal y ASCII)
5.3.4. Filtros de captura y visualizacion¶
Wireshark utiliza filtros para facilitar el analisis:
| Filtro | Funcion |
|---|---|
http |
Trafico web sin cifrar |
ftp |
Trafico FTP |
tcp.port == 23 |
Trafico Telnet |
dns |
Consultas DNS |
ip.addr == 192.168.1.X |
Trafico de una IP |
Reconstruccion de sesiones¶
Wireshark permite reconstruir una comunicacion completa:
- Clic derecho sobre un paquete
- Follow -> TCP Stream
Esto muestra toda la conversacion entre cliente y servidor.
5.3.5. Diferencia entre trafico cifrado y no cifrado¶
Trafico HTTP¶
- Visible en texto claro
- Permite ver formularios, URLs y contenido
Trafico HTTPS¶
- Cifrado mediante TLS
- Solo se ven metadatos (IP, puerto)
Trafico FTP¶
- Usuario y contraseña visibles
Trafico SSH¶
- Todo el contenido cifrado
5.3.6. Limitaciones del sniffing¶
- En redes con switch, el trafico no llega a todos los equipos
- El cifrado impide leer el contenido
- Requiere acceso a la red
5.3.7. Buenas practicas¶
- Evitar protocolos en texto plano
- Usar HTTPS, SSH y VPN
- Segmentar redes
- Monitorizar trafico regularmente
Práctica 5.3. Interceptacion de credenciales con Wireshark¶
Objetivo: Demostrar de forma practica como se exponen credenciales en protocolos inseguros mediante captura de trafico.
Requisitos del entorno¶
El alumno debe disponer de:
- Dos maquinas virtuales en VirtualBox en la misma red interna
- Maquina A: cliente (Ubuntu con Wireshark)
- Maquina B: servidor con:
- FTP activo
- Servidor web HTTP
La configuracion del entorno no se detalla y forma parte de la evaluacion.
Tareas a realizar¶
1. Captura de trafico FTP¶
El alumno debe:
- Generar una conexion FTP desde la maquina cliente al servidor
- Capturar el trafico con Wireshark
- Identificar los paquetes donde aparecen:
- Usuario
- Contraseña
Evidencias requeridas¶
- Captura de Wireshark donde se vean claramente las credenciales
- Identificacion del paquete (numero o filtro)
- Explicacion de por que es inseguro
2. Captura de trafico HTTP¶
El alumno debe:
- Acceder desde el navegador a una web HTTP
- Capturar el trafico
- Reconstruir la sesion TCP
Evidencias requeridas¶
- Captura de “Follow TCP Stream”
- Identificacion de informacion visible (cabeceras, contenido)
- Explicacion del riesgo
3. Comparativa con protocolo seguro¶
El alumno debe repetir una de las pruebas anteriores usando un protocolo seguro (HTTPS o SSH)
Evidencias requeridas¶
- Captura del trafico cifrado
- Explicacion de por que no es posible leer el contenido
- Comparativa directa con el caso anterior
4. Analisis tecnico¶
El alumno debe redactar un analisis donde:
- Explique que informacion puede obtener un atacante
- Relacione el resultado con la confidencialidad (CIA)
- Proponga al menos dos medidas de mitigacion
Entrega¶
- Informe en PDF
- Capturas integradas y comentadas
- Fichero .pcap opcional
Criterios de evaluacion¶
| Criterio | Descripcion | Puntuacion |
|---|---|---|
| Captura FTP | Identificacion correcta de credenciales | 3 |
| Captura HTTP | Reconstruccion y analisis | 2 |
| Comparativa | Diferencia entre cifrado y no cifrado | 2 |
| Analisis | Explicacion tecnica y medidas | 2 |
| Presentacion | Claridad y documentacion | 1 |
Total: 10 puntos