IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Alert.png Aquesta wiki forma part dels materials d'un curs
Curs: DissenyXarxesLinux, LinuxAdministracioAvancada, SeguretatXarxesInformàtiques
Fitxers: Protocols_de_xarxes_UNIX.pdf (Protocols_de_xarxes_UNIX.odp)
Repositori SVN: http://anonymous@svn.projectes.lafarga.cat/svn/iceupc/DissenyXarxaLocalLinux, http://anonymous@svn.projectes.lafarga.cat/svn/iceupc/LinuxAdministracioAvan%c3%a7ada, http://anonymous@svn.projectes.lafarga.cat/svn/iceupc/SeguretatXarxesInform%C3%A0tiques
Usuari: anonymous
Paraula de pas: sense paraula de pas
Autors: Sergi Tur Badenas

Pràctica captura de contrasenyes

Per fer aquesta pràctica cal que conegueu alguna pàgina web que demani un usuari i contrasenya per accedir-hi de tipus http_auth_basic. Perquè us feu una idea la pàgina ha de ser similar a:

EtherealExempleCapturaContrasenyes1.jpg

Si voleu podeu seguir les passes de la secció: Restringir accés a continguts de l'article sobre Apache d'aquesta wiki.

Ara es tracta d'executar wireshark (abans anomenat ethereal) per comprovar que les contrasenyes que viatgen per Internet sense xifrar són molt insegures.

Obrim Ethereal com a superusuaris:

$ sudo wireshark

Ethereal.png

Al menú capture seleccionem l'opció interfaces

Ethereal1.png

Comencem una captura a la interfície connectada a Internet (normalment eth0, però també pot ser un altre com eth1 si es tracta de wireless). Seleccioneu eth0 i feu clic a Start:

Ethereal2.png

Començara a capturar paquets:

Ethereal4.png

Ara accediu a una URL que demani usuari i contrasenya de l'autenticació bàsica d'HTTP. Podeu utilitzar la web:

http://acacha.dyndns.org/~sergi/prova

Introduïu un usuari i paraula de pas inventats! No poseu contrasenyes importants per què apareixeran per pantalla! No podreu entrar a la web però ara ja podeu aturar la captura. Aneu al menú Capture/Stop

Quan acabem la captura apliquem un filtre (HTTP) per localitzar la contrasenya:

Ethereal5.png

La paraula de pas la trobareu a:

  • Paquet GET --> Hypertext Transfer Protocol --> Authorization --> Credentials.
Ethereal6.png

Pràctica captura de contrasenyes 2. HTTP Digest

TODO


Consulteu HTTP Digest

Protocol SSL

Altres

TODO

Recursos