1

Actividad Evaluativa EJE 2

Detectando conexiones Windows

Oscar Andres Londoño Toro

Oscar Eduardo Díaz Londoño

Juan Sebastián Prieto Penagos

Fundación Universitaria del Área Andina.

Informática Forense 1

Grupo 12

Marzo 2021
2

Introducción
Desarrollaremos en este eje una actividad rápida pero eficaz para aprender a ver y detectar conexiones,
utilizando el servicio telnet, actualmente su uso es bajo, esto porque es un protocolo de conexión remota
muy insegura, sin embargo para esta actividad es útil, aprenderemos a ver los logs del sistemas, de forma
que lograremos identificar las conexiones establecidas entre los sistemas, y así identificar sus protocolos
y aplicaciones.
3

Objetivos
El objetivo de este taller es que el estudiante sepa cómo revisar los logs del sistema, los procesos y las
conexiones establecidas en un sistema para poder detectar conexiones, protocolos y aplicaciones.
4

Situación propuesta

Responder a las siguientes preguntas:

1. ¿Qué proceso identifica la conexión establecida usando el servicio telnet?

2. Identificar IP fuente, puerto origen, IP destino, puerto destino.

3. Verificar cómo el sistema detectó la conexión y cómo lo almacena en los logs del sistema.

Vamos a realizar la actividad entre dos máquinas virtuales, una es un sistema operativo Debian 10, y la
otra es un Windows 10 Professional.

Acondicionamiento de entorno virtual

Para ambas situaciones debemos realizar una preparación del entorno, en el caso de Debian, se debe
instalar los respectivos paquetes de la siguiente forma:

Ilustración 1- Instalación paquete telnet server en Debian 10

Ahora validamos que efectivamente el puerto 23 está en escucha, de la siguiente forma.

Ilustración 2- Validar escucha del puerto 23

Como se visualiza en la ilustración, el puerto 23 está por defecto, esto porque es donde se establece la
conexión al servicio, ahora debemos habilitar la correcta característica de Windows (cliente telnet) de
esta forma.

Ilustración 3 - Activar características de Windows

5

Seguidamente buscamos la característica cliente telnet, se selecciona y luego le damos aceptar para que
inicie se inicie del servicio.

Ilustración 4-Habilitar cliente Telnet Windows

Pruebas de conectividad

Se podrá establecer correctamente la conexión entre las dos máquinas virtuales, cabe recordar que
ambas maquinas deben estar en el mismo segmento de red, si no es así, entonces tener una conexión
VPN, en este caso, enlazamos las dos máquinas a través de Vmware, y se utilizó una conexión de red tipo
(NAT), y así de esta forma las dos maquinas se pueden ver entre sí y podremos establecer una conexión.

Ilustración 5-Identificación de host

Se realiza una prueba de conectividad con ping, del servidor hacia el cliente y al revés.

Ilustración 6-Validación de conexión de máquinas virtuales.

6

Conexión Telnet

Después de configurado el entorno virtual, vamos a realizar la respectiva conexión desde el cliente
(Windows) hacia el servidor (Debian), vamos a realizar la captura de todos los paquetes, se va a utilizar
Wireshark de primeras, este se encarga de capturar todo el tráfico en la red (NAT) que se configuro
anteriormente.

Ilustración 7- Solicitud de Conexión Telnet

Validación de logs de sistema

Se visualiza que desde Wireshark, se tienen algunos paquetes capturados, algunos corresponden a
permisos de nuestra solicitud de conexión de Windows hacia Debian.

Ilustración 8 - Captura de tráfico cliente servidor telnet

7

Se ingresan los usuarios y contraseñas y así poder establecer la conexión y poder

acceder correctamente.

Ilustración 9 - Acceso a Telnet desde el cliente Windows.

Preguntas y repuestas

¿Qué proceso identifica la conexión establecida usando el servicio telnet?

Primero vemos que a través de Wireshark, se identifica un proceso TELNET DATA, este ejecuta varios
comandos como vemos a continuación.

Ilustración 10 - Captura de tráfico de Wireshark

1. Identificar IP fuente, puerto origen, IP destino, puerto destino.

Se logra identificar los datos correctos, analizamos el protocolo de internet 4 y el protocolo control
retransmisión que tiene Wireshark.

IP Fuente: 192.168.52.136
Puerto de Origen: 49761

Lo cual corresponde a la información del equipo Windows 10.

IP destino: 192.168.52.133
Puerto destino: 23
8

2. Verificamos que el sistema logro detectar la respectiva conexión, logro también almacenar en
los logs del sistema.

En el sistema Linux, se verifica la ruta /var/log se visualizan varios registros, estos se almacenan y
podemos verlo con el editor de tecto nano.

Ilustración 11 - Registro de login

Luego realizamos el cierre de la sesión como se puede ver.

Ilustración 12-Cierre de Sesión

Ilustración 13-Error de autenticación

Se visualizan también los intentos del login fallando, en caso de que no se pueda ingresar, en Windows
podemos ver la conexión establecida, para el caso de Telnet con el comando netstat.

Ilustración 14-Resultados netstat en Windows

9

Ilustración 15-Conexiones Activas

Ilustración 16-Revisión de logs en Debian 10

Así podremos ver el registro de las conexiones establecidas, el usuario que se utilizó, también si se
hubiese hecho algún cambio en el sistema o equipo, veríamos los registros de paquetes, mensajes, login,
usuarios, entre otros.
10

Conclusiones

Telnet permite acceder de manera remota a cualquier equipo, se utiliza frecuentemente para
conexión a diferentes dispositivos como routers, ver sobre las conexiones y puertos disponibles
en los equipos, registrando así la actividad que sucede en el equipo, podemos ver cualquier
suceso del sistema o usuario, se deja un registro que se puede visualizar en el registro de
eventos, y también en otros sistemas como en este caso Debian 10.
11

Bibliografía

 Anón. s. f. «Telnet: el protocolo para cualquier plataforma». IONOS Digital guide.

(https://www.ionos.es/digitalguide/servidores/herramientas/telnet-el-protocolo-para-
Cualquier-plataforma/).
 Docencia.ac.upc.edu
http://docencia.ac.upc.edu/FIB/STD/lab/unix_4.pdf