1 00:00:01,840 --> 00:00:11,619 Buenas chicos, bueno, como veis en el vídeo, explica bastante bien la diferencia entre HTTP y HTTPS. 2 00:00:12,019 --> 00:00:14,699 La gran diferencia, como dices, es la seguridad. 3 00:00:15,699 --> 00:00:22,179 HTTP es un protocolo de aplicación en la capa TCP y IP, como vemos aquí. 4 00:00:22,679 --> 00:00:26,059 Luego por debajo estaría la capa de transporte, que sería el protocolo TCP. 5 00:00:26,059 --> 00:00:38,179 lo que hace cuando hay HTTPS lo que hay es una capa intermedia que va sobre el protocolo SSL o ITLS 6 00:00:38,179 --> 00:00:45,960 aunque en la actualidad ya sea estandarizado sobre TLS que lo que nos permite es un cifrado de las comunicaciones 7 00:00:45,960 --> 00:00:48,619 o lo que es lo mismo la utilización de un certificado digital 8 00:00:48,619 --> 00:00:53,659 vale, aquí tenemos por ejemplo nuestro amadísimo 9 00:00:53,659 --> 00:00:56,820 foro cofrave, que como podemos ver y nos dijo en el vídeo 10 00:00:56,820 --> 00:01:01,399 esta conexión aparece HTTPS y con color en verde 11 00:01:01,399 --> 00:01:05,500 eso quiere decir que es segura, si yo voy aquí y veo que el 12 00:01:05,500 --> 00:01:09,599 certificado que está utilizando esta página web entre yo como usuario final 13 00:01:09,599 --> 00:01:13,400 y servidor, está encriptado, es un certificado 14 00:01:13,400 --> 00:01:16,700 verificado por Let's Encrypt, que será una autoridad 15 00:01:16,700 --> 00:01:28,019 una utilidad certificadora. Doy a More Information y me aparece como este certificado me está diciendo que la conexión está encriptada 16 00:01:28,019 --> 00:01:37,700 y utiliza TLS la versión 1.3. En cambio, si voy al foro sinespejo.com barra foro, ya me está diciendo aquí el candado que está tachado 17 00:01:37,700 --> 00:01:50,040 y la conexión no es segura, ¿vale? Entonces, ahora quiero que veamos como hicisteis en la práctica, vamos a capturar paquetes con el programa sniffer 18 00:01:50,040 --> 00:02:00,060 Wireshark, ¿vale? Recordad que para entrar y que nos reconozca los diferentes interfaces de red de nuestro PC, tenemos que entrar como administrador, 19 00:02:00,060 --> 00:02:20,560 Para ello utilizamos el comando sudo. Voy a abrir una nueva pestaña también. Aquí tenemos el Wireshark. Me está cargando en un momento todos los interfaces, aquí los podemos ver, los que aparecen en la máquina virtual y ahora veremos en cuál de ellos se están enviando y recibiendo paquetes. 20 00:02:20,560 --> 00:02:23,819 Todavía no vemos ninguna montañita de señal 21 00:02:23,819 --> 00:02:26,400 Pero bueno, puedo hacer una actualización aquí del foro Cofrade 22 00:02:26,400 --> 00:02:29,340 Y ver como, por ejemplo, ETH0 23 00:02:29,340 --> 00:02:32,379 O bueno, si elegimos este es cualquier interfaz 24 00:02:32,379 --> 00:02:36,120 Pero bueno, yo selecciono el Ethernet 0 25 00:02:36,120 --> 00:02:39,560 Que es por donde me está llegando la comunicación 26 00:02:39,560 --> 00:02:42,300 Vale, entonces yo voy al foro Cofrade 27 00:02:42,300 --> 00:02:45,439 Bueno, en primer lugar vamos a ir al forosinespejo.com 28 00:02:45,439 --> 00:02:47,840 Aquí está la parte de identificarse 29 00:02:47,840 --> 00:02:50,400 y voy a 30 00:02:50,400 --> 00:02:52,120 voy a capturar 31 00:02:52,120 --> 00:02:53,960 paquetes, vale 32 00:02:53,960 --> 00:02:56,080 voy al webshark, empiezo a capturar 33 00:02:56,080 --> 00:02:57,099 no guardo 34 00:02:57,099 --> 00:02:59,819 y aquí pongo por ejemplo 35 00:02:59,819 --> 00:03:01,699 luis.bueno 36 00:03:01,699 --> 00:03:03,780 bueno, bueno, y usuario 37 00:03:03,780 --> 00:03:05,419 yo que sé, silla 38 00:03:05,419 --> 00:03:07,860 vale, da igual, me identifico 39 00:03:07,860 --> 00:03:10,199 y claro, como no estoy registrado me dice que no puedo entrar 40 00:03:10,199 --> 00:03:11,900 voy a parar los paquetes 41 00:03:11,900 --> 00:03:13,860 y aquí tenemos 42 00:03:13,860 --> 00:03:15,719 toda la conexión, vemos paquetes http 43 00:03:15,719 --> 00:03:22,639 es decir, no es seguro porque si no nos saldrían TLS y paquetes TCP. 44 00:03:22,900 --> 00:03:29,939 Recordad, las comunicaciones TCP y IP, capa de aplicación HTTP, que es la que se utiliza a nivel de acceso a webs, 45 00:03:30,620 --> 00:03:33,719 y TCP, que es el protocolo de nivel de transporte. 46 00:03:35,180 --> 00:03:41,439 Por ejemplo, mi máquina, bueno, sudo, que si no no me lo coge, ¿vale? 47 00:03:41,439 --> 00:03:46,259 mi máquina es 192.168.1.103 48 00:03:46,259 --> 00:03:50,039 entonces si yo quiero ver los paquetes 49 00:03:50,039 --> 00:03:51,539 en los que interviene mi máquina 50 00:03:51,539 --> 00:03:56,759 como ya sea como origen o destino 51 00:03:56,759 --> 00:03:59,060 pues puedo utilizar este filtro 52 00:03:59,060 --> 00:04:02,680 si yo solo quiero ver aquellos que intervienen 53 00:04:02,680 --> 00:04:04,379 mi máquina como origen 54 00:04:04,379 --> 00:04:06,860 IP SRC de SUS 55 00:04:06,860 --> 00:04:08,219 y solo me parece, lo veis 56 00:04:08,219 --> 00:04:11,280 solo aparecen los paquetes que esta IP 57 00:04:11,280 --> 00:04:13,580 que es la mía, aparece como origen 58 00:04:13,580 --> 00:04:14,939 si yo quiero por ejemplo 59 00:04:14,939 --> 00:04:16,980 que solo figuren los paquetes tcp 60 00:04:16,980 --> 00:04:18,240 pues ahí está, tcp 61 00:04:18,240 --> 00:04:21,199 ahora yo quiero por ejemplo que aparezcan los paquetes 62 00:04:21,199 --> 00:04:27,160 que salga la ip 63 00:04:27,160 --> 00:04:27,899 de 64 00:04:27,899 --> 00:04:30,160 de 65 00:04:30,160 --> 00:04:33,120 sinespejo se llamaba 66 00:04:33,120 --> 00:04:35,000 de sinespejo.com 67 00:04:35,000 --> 00:04:36,680 vale, voy a hacer un ping 68 00:04:36,680 --> 00:04:39,259 sinespejo.com 69 00:04:39,259 --> 00:04:40,500 tenemos 70 00:04:40,500 --> 00:04:42,379 14395 71 00:04:42,379 --> 00:04:45,079 a ver, 193 72 00:04:45,220 --> 00:05:04,000 ¿143? ¿Era 143? Ya no me acuerdo. Vaya memoria. 143.95.232.23, ¿vale? Y me salen los paquetes que interviene esta IP, ya sea como origen o destino, repito. 73 00:05:04,000 --> 00:05:20,519 Y luego quiero que a mayores salgan todos los paquetes TCP, ¿vale? Pero quiero que salgan solo los que tengan, o sea, esto sería paquetes TCP y que intervenga ese IP de la comunicación. 74 00:05:20,519 --> 00:05:36,439 Si solo quiero que salgan los paquetes que sean TCP, bueno, perdón, anteriormente, si yo pongo este símbolo, quiere decir que salen los paquetes que tengan esta IP o los que tengan TCP. 75 00:05:37,139 --> 00:05:45,579 Si pongo esto, solo me saldrían los paquetes que intervengan esa IP y sean TCP. 76 00:05:46,139 --> 00:05:49,639 ¿Vale? Os salía un poquillo, pero bueno, creo que me he explicado. 77 00:05:49,639 --> 00:06:07,319 Vale, en este caso yo quiero los paquetes que intervengan a esta IP, que es la de sin espejo y que sean HTTP, ¿vale? Lo vemos, ¿no? Entonces cualquiera de ellos yo cojo la comunicación HTTP y voy a seguir todo el flujo de esa comunicación a nivel TCP. 78 00:06:07,319 --> 00:06:23,759 Y aquí podéis ver mi usuario, luis.web y el password silla. Si yo busco aquí luis, pues esto es un filtro que me permite buscar por si la información es mucho más de lo que aparece. 79 00:06:23,759 --> 00:06:27,180 ahora vamos a probar con el foro cofrade 80 00:06:27,180 --> 00:06:30,579 el foro cofrade ya vimos que puso un certificado 81 00:06:30,579 --> 00:06:33,980 y que a partir de nuestros ataques o no 82 00:06:33,980 --> 00:06:35,180 que es lo más probable 83 00:06:35,180 --> 00:06:42,250 cambió el formato de sus comunicaciones 84 00:06:42,250 --> 00:06:44,810 pasándolas de forma encriptadas 85 00:06:44,810 --> 00:06:48,089 me voy al foro cofrade 86 00:06:48,089 --> 00:06:52,129 pongo por ejemplo luis.asir 87 00:06:52,129 --> 00:06:54,129 y la contraseña asir 88 00:06:54,129 --> 00:06:56,629 vale, voy a entrar 89 00:06:56,629 --> 00:06:58,230 no me lo va a guardar 90 00:06:58,230 --> 00:07:00,649 para la comunicación y yo por ejemplo 91 00:07:00,649 --> 00:07:01,670 quiero lo mismo 92 00:07:01,670 --> 00:07:04,170 que intervenga por ejemplo la 93 00:07:04,170 --> 00:07:06,610 la IP del foro cofrade 94 00:07:06,610 --> 00:07:08,069 que voy aquí 95 00:07:08,069 --> 00:07:09,389 hago un ping 96 00:07:09,389 --> 00:07:12,509 así filtro si por ejemplo 97 00:07:12,509 --> 00:07:14,649 el ordenador está comunicándose en ese momento 98 00:07:14,649 --> 00:07:16,629 con otros servidores, otras máquinas 99 00:07:16,629 --> 00:07:18,610 pues solo filtro la comunicación 100 00:07:18,610 --> 00:07:19,610 con el foro cofrade 101 00:07:19,610 --> 00:07:22,649 81.169 102 00:07:24,129 --> 00:07:28,199 177 103 00:07:28,199 --> 00:07:30,800 44 104 00:07:30,800 --> 00:07:33,819 vale, como podéis ver chicos 105 00:07:33,819 --> 00:07:36,480 solo hay paquetes TCP y TLS 106 00:07:36,480 --> 00:07:37,779 ¿qué nos está diciendo esto? 107 00:07:37,980 --> 00:07:40,220 que la información con este servidor 108 00:07:40,220 --> 00:07:41,199 está siendo cifrada 109 00:07:41,199 --> 00:07:43,660 cojo cualquiera de TLS por ejemplo 110 00:07:43,660 --> 00:07:45,360 y voy a seguir el flujo TCP 111 00:07:45,360 --> 00:07:47,279 y como podemos ver 112 00:07:47,279 --> 00:07:50,220 no podemos capturar 113 00:07:50,220 --> 00:07:52,120 el usuario y la contraseña 114 00:07:52,120 --> 00:07:53,660 que he escrito 115 00:07:53,660 --> 00:08:11,759 ¿Vale? Pues esta es un poco la solución, ¿no? Comentaros un poco cómo funcionan esas webs que tienen certificado o no y cómo la información va encriptada o no. ¿Vale? Venga chicos, un saludo. Hasta luego.