Operaciones

Nombre de la
Sigla Asignatura CSY4132 en Tiempo 2 horas
Asignatura
Ciberseguridad
(CCNA CyberOps)
Experiencia de Aprendizaje N°2 Control de Amenazas de red
Actividad N°2.3 Ataques a servicios web

Nombre del Recurso Didáctico 2.3.2 Actividades Ataques a servicios web

1. Aprendizajes e indicadores de logro

Aprendizajes (Procedimentales, Actitudinales Indicadores de logro

y conceptuales)

Aplicar medidas de seguridad en redes

​ Analiza el funcionamiento de los protocolos y de
convergentes de datos según estándares
y políticas de seguridad. servicios de red con el fin de garantizar la operación al
interior de la organización.

​ Identifica el funcionamiento de la infraestructura de

Identificar y analizar un problema para
generar alternativas de solución,
aplicando los métodos aprendidos
Resolución de Problemas (N1)
red.
● Aplica un método lógico en la resolución del
problema, considerando pasos definidos y
relacionados entre sí.
● Presenta alternativas de solución al problema
planteado, considerando riesgos y ventajas.

Reconocer elementos asociados a la
seguridad de redes en entornos de redes
convergentes de acuerdo con estándares
y políticas de seguridad
● Identifica los diferentes tipos de ataque a los servicios
de una organización.
● Identifica las amenazas de red para determinar los
tipos de ataques que podrían suceder en una
empresa.

2. Descripción general actividad

Esta actividad tiene carácter formativo donde el estudiante deberá realizar una serie de actividades
sobre ataques a servicios de red, siguiendo las instrucciones entregadas por el docente.

Instrucciones

1. Esta actividad es de carácter grupal, máximo 4 integrantes.

2. Deberán usar los anexos con los requerimientos que se detallan en el propio documento.
3. Cada grupo debe generar evidencias en un documento Word, con las respuestas
correspondientes a cada actividad, y enviarla a través de mensaje interno del AVA.
Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B
 4. Al finalizar esta actividad dispondrán del recurso 2.3.4 para coevaluar sus desempeños
durante el horario de trabajo autónomo.

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

 3. Actividad

En esta actividad se busca que los estudiantes en equipo de trabajo se interioricen con el análisis de
protocolos y ataque de servicios web.

Cada grupo de trabajo deberá realizar 3 laboratorios, los cuales se adjuntan como anexos.

● Lab 1: Explorando el tráfico DNS

● Lab 2: Atacando una base de datos
● Lab 3: Leyendo archivos de log de servidores

Una vez terminadas las evidencias, deben ser enviadas como mensaje interno del AVA al docente a
cargo.

Desarrollo:

Anexo 1:

Práctica de laboratorio: Explorar tráfico DNS

¿Qué sucedió con las direcciones MAC de origen y de destino? ¿Con qué interfaces de red
están asociadas estas direcciones MAC?

La dirección MAC del source se ve afectada cuando llega al puerto de destino

(www.cisco.com)

Las direcciones MAC están asociadas a la NIC de la PC de origen y la puerta de enlace con el
servidor de destino

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

¿Cuáles son las direcciones IP de origen y destino? ¿Con qué interfaces de red están
asociadas estas direcciones IP?

La direccion de IP de origen es: 172.20.28.39 y la de destino es 8.8.8.8, el DNS de Google

que se utiliza para consultar sobre como llegar a “www.cisco.com”, la dirección de IP de
origen está asociada al NIC del PC y la ip de destino a un servidor DNS.

¿Cuáles son los puertos de origen y de destino? ¿Cuál es el número de puerto de DNS
predeterminado?

El puerto de origen es 50767 y el puerto de destino es 53 (del DNS).

Comparen las direcciones MAC e IP presentes en los resultados de Wireshark con los
resultados de ipconfig /all. ¿Cuál es su observación?

Las IP y MAC capturadas en Wireshark son las mismas que aparecen utilizando el comando
ipconfig /all del cmd.

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino? ¿Qué
similitudes y diferencias tienen con las direcciones presentes en los paquetes de consultas
DNS?

Las direcciones IP de source es 8.8.8.8 y de destino 172.20.28.39, la dirección que antes era
de origen (source) ahora es el del DNS y el destinatario es el PC (172.20.28.39).

Observen los resultados. ¿El servidor DNS puede realizar consultas recursivas?

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

Si, el servidor DNS puede realizar consultas recursivas.

Observen los registros CNAME y A en los detalles de las Respuestas. ¿Qué similitudes y
diferencias tienen con los resultados de nslookup?

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

Los registros CNAME de Wireshark consultan a las mismas direcciones y tienen las mismas
respuestas que lo mostrado en el lookup del cmd.

Reflexión:

A partir de los resultados de Wireshark. ¿Qué más pueden averiguar sobre la red cuando
quitan el filtro?

Podemos ver y averiguar distintos paquetes, si no filtramos, como paquetes DHCP u otros
que posean datos que pasaron por la red.

¿De qué manera un atacante puede utilizar Wireshark para poner en riesgo la seguridad de
sus redes?

Para poder capturar credenciales e información valiosa para un usuario.

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

Anexo 2:

Diríjanse al directorio /home/analyst/ y busquen lab.support.files. En el

directorio lab.support.files abra el archivo SQL_Lab.pcap.

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

El archivo PCAP se abre dentro de Wireshark para mostrar el tráfico de red
capturado. Este archivo de captura se extiende por un período de 8 minutos
(441 segundos), la duración de este ataque de inyección SQL

En función de la información que aparece en pantalla, ¿cuáles son las dos

direcciones IP involucradas en este ataque de inyección SQL?

las ip involucradas son las 10.0.2.15 y la 10.0.2.4

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

¿Cuál es la versión?

El atacante ha ingresado una consulta (1’ or 1=1 union select null, version ()#)
en un cuadro de búsqueda de ID de usuario en el destino 10.0.2.15 para
localizar el identificador de la versión. Observe que el identificador de versión
se encuentra al final del resultado justo antes de </pre>.</div> cierre del
código HTML

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

¿Cual es la version?

la version es 5.7.12-0ubuntu1.1

El atacante ha ingresado una consulta (1’ or 1=1 union select null, table_name
from information_schema.tables#) en un cuadro de búsqueda de ID de
usuario en el destino 10.0.2.15 para ver todas las tablas de la base de datos.
Esto proporciona una enorme salida de muchas tablas, ya que el atacante
especificó “null” sin más especificaciones.

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

¿Qué haría el comando modificado de (1' OR 1=1 UNION SELECT null,
column_name FROM INFORMATION_SCHEMA.columns WHERE
table_name='users') por el atacante?

R: el comando modificado permitirá ver la información de base de datos en

forma de columnas, en vez de tablas de base de datos.

¡El atacante ha ingresado una consulta (1’ or 1=1 union select user, password
from users#) en un cuadro de búsqueda de ID de usuario en el destino
10.0.2.15 para obtener nombres de usuario y hashes de contraseñas!
¿Qué usuario tiene 8d3533d75ae2c3966d7e0d4fcc69216b como hash de su
contraseña?

el usuario que tiene como como contraseña cifrada charley es 1337.

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

Utilicen un sitio web como https://crackstation.net/ para copiar el hash de la
contraseña en el decodificador de hashes de contraseñas y comiencen a
decodificarlo.
¿Cuál es la contraseña en texto plano?

charley

Reflexión
1. ¿Cuál es el riesgo de hacer que las plataformas utilicen el lenguaje SQL?

al ocupar inyecciones sql, por diferentes plataformas seria mas facil hackear la
base de datos, perdiendo los mismos, o credenciales, etc.

2. Busquen “evitar ataques de inyección SQL” en Internet. Mencionen 2

métodos o pasos que se pueden utilizar para evitar ataques de inyección SQL.

Anexo 3:
Paso 1: Ejecutar journalctl sin opciones

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

Paso 2: journalctl y algunas opciones

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B

Reflexion:

Docente Diseñador Miguel Ortiz Vera Revisor metodológico Alicia Zambrano B