MÓDULO 2: SEGURIDAD DE LA RED Y LA COMUNICACIONES

ACTIVIDAD DE LA LECCIÓN 1

PROFESOR:

ARNOLD BADILLO REY

ALUMNO

ESNEIDER CANO LONDOÑO

UNIVERSIDAD DEL NORTE

DIPLOMADO EN CIBERSEGURIDAD

MEDELLIN ANTIOQUIA.
2021
Kali Linux (Agresor): 192.168.56.101
Windows 2003 Server (Victima 1): 192.168.56.114
Windows XP (Victima 2): 192.168.56.115
comunicación entre máquina virtual Windows server vs agresor

comunicación entre máquina virtual Windows xp vs agresor

Subo servicio ftp desde el servidor y compruebo conexión con el Windows xp y

se compruebas que están funcionando correctamente
Se realiza el login al ftp y realizamos un comando de las para ver el contenido
del ftp y nos encontramos con lo siguiente

Luego se abre la aplicación de ettercap se configura el ataque de dns_spoofing

y escaneamos la red para encontrar las ip asociadas en la red como se
muestra en la siguiente imagen
Se selecciona los target1 y target2

Luego se realiza un ataque por envenenamiento de red o arp_spoofing al target

seleccionados, luego se realizó la conexión al ftp desde la máquina de
Windows xp e ingresamos las credenciales y automáticamente al dar entre
capturamos la clave de la victima

Luego validamos las tablas del arp y evidenciamos que hay un cambio en la
dirección se evidencia que esta la ip del atacante lo que deja en evidencia el
ataque de arp spoofing a continuación ver imagen donde se resaltan las ip y la
flecha que apunta a la ip del atacante, tanto para la maquina Windows server
como para la xp
Luego de detener el ataque realizamos un ping entre las máquinas y pasado un
minuto consulto nuevamente la tabla y se evidencia que ya no está la ip del
atacante

PREGUNTAS
¿Por qué cree que fue posible obtener las credenciales y en texto claro?,
justifique su respuesta a continuación de forma detallada
R:/ es posible capturar en texto plano es por el puerto 21 que usa el ftp 21, por
este puerto la información no va cifrado y por ende es propenso a ataque de
este tipo o de sniffing
¿Nota algún cambio de las entradas en la tabla ARP de alguna o de ambas
máquinas?
R:/ si se evidencia un cambio en donde se puede visualizar la ip del atacante
que cumple la función como si fuera un intermediaron en la comunicación de
las maquinas victimas

¿Por qué cree que ha ocurrido esto?, justifique su respuesta

R:/ esto ocurre porque se realiza un ataque de hombre en mido en el cual se
envenena la red de la víctima haciendo que todo el tráfico pase por la ip del
atacante, y al ser un puerto que no cifra la información permite capturar
fácilmente los textos en plano

A parte de la obtención en texto claro de las credenciales de acceso del

servicio FTP que se pudo apreciar en este ejercicio práctico, ¿qué otra
información podría obtenerse?, ¿de qué otros servicios? Justifique su
respuesta: también se puede considerar el puerto 8080 que no cifra la
información, por ende, toda página que la víctima navegue por un http e
ingrese alguna credencial será capturada ya que este puerto tampoco cifra la
información

¿Qué control considera usted que podría aplicarse para evitar la

materialización de este tipo de ataques?
R:/ en este caso yo implementaría un VPN para realizar cualquier transporte de
información por ftp