SlideShare una empresa de Scribd logo

Proyecto 1 - Conceptos

Á
Ángel Sardinero López

Trabajo 1 del módulo SEIN

Internet
1 de 11
Descargar para leer sin conexión
PROYECTO 1 - CONCEPTOS RA: Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades 1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer? • El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle. o Deberían contratar más personal para la seguridad del edificio, aparte de eso, la única persona encargada de esta función también tiene que atender el edificio de enfrente, con la poca efectividad en ambos casos. • El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista. o Aquí tenemos el mismo problema que en anterior caso, falta personal para la seguridad, con la ventaja de que al menos este vigilante está 100% pendiente de su función hasta las 3. • Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia. o El personal de limpieza también debería tener una tarjeta particular que lleven siempre consigo, podría haber un roco en el cajón de la mesa del vigilante y tener acceso. • Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva). o La copia de seguridad debería realizarse cada vez que se actualice algún dato, para evitar pérdidas de los mismos. Las cintas deberían dejarse guardadas con algún tipo de protección física, y a ser posible con otra digital para evitar su fácil acceso y manipulación. • El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas. o Al estar abiertas las ventanas se permite el acceso de varios elementos inconvenientes para el mantenimiento de los equipos, por tanto habría que buscar una forma de colocar el aire acondicionado u otra medida de refrigeración • Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
• Los servidores tienen doble fuente de alimentación, por si se estropea alguna. • El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña. o Deberían poner algún tipo de cifrado para proteger la información, por ejemplo con una contraseña, varios caracteres, tanto letras como números, como símbolos especiales, puesto que mayor desastre sería la pérdida de la información que contienen esos ordenadores. • Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno. o Debería haber una copia de seguridad para cada usuario puesto que pueden cometer errores, y sería el método más fácil para solucionar un problema inesperado. RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico 2. Al día siguiente continúa la entrevista. Termina la entrevista del segundo día porque tiene otro compromiso. De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer? Tus nuevas notas son: • Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad. o Debería haber al menos una contraseña para que solo pudiera entrar personal autorizado, además de que no se deberían mezclar las dos redes por que podría ralentizarse. • La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata. o Deberían comprar Windows 10 ya que es la versión más reciente y hay menos posibilidades de acceso que en las versiones anteriores, si llegara una inspección y vieran que es un sistema pirata podrían multarles. Si el presupuesto no fuera suficiente, podrían considerar la opción de usar Linux, que es gratuito, pero sin soporte técnico. • En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB. o Todos deberían instalar el mismo antivirus ya que cada uno puede tener un problema distinto y perder mucho tiempo en encontrarlo en todos. En cuanto a pasarlo por USB, tampoco deberían hacerlo, porque si hubiese malware en el dispositivo, se iría pasando igual que el antivirus.
• Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet. o Deberían tener activadas las actualizaciones automáticas, ya que siempre es mejor la última versión, puesto que se corrigen fallos de las versiones anteriores. En cuanto a la saturación deberían programar un horario de inactividad de ordenadores, para aprovechar y actualizar esos equipos. • La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente. o Deberían usar switch y routers, ya que aunque los hubs son más rápidos, los switch y routers son más seguros. • Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar. o Se ahorra un dinero al ser gratuito pero al ser sencillo de instalar, también tiene varias vulnerabilidades, mi opinión es que deberían utilizar otro tipo de aplicación. • El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04. o Se debería actualizar Linux a la última versión para cerrar posibles brechas de seguridad y tener más funciones y mejores recursos que en las versiones anteriores.
3. Realiza una memoria con los pasos que has realizado, incluyendo capturas. 1. Hacemos ifconfig en Kali Linux para saber la dirección IP que tenemos. 2. Hacemos ping desde Metasploit a Kali Linux y vemos que hay conexión a la red.
3. Hacemos lo mismo desde Kali Linux a Metasploit. 4. Introducimos el comando “nmap –Sp (Nuestra red, en este caso 192.168.1.0).
5. Aquí localizamos la máquina a la que vamos a atacar. 6. A continuación para hacer el escáner introducimos el comando “nmap -sT -O (IP del equipo a atacar, en este caso 192.168.1.158)”.
7. Introducimos el comando "nmap -sT -sV (IP del equipo a atacar, en este caso 192.168.1.158)" para obtener la versión de los servicios y saber que ataque ejecutar. 8. Introducimos el comando “telnet (IP del equipo a atacar) y (puerto de telnet)”, después ponemos el usuario y la contraseña.
9. Ahora ejecutaremos programas como ftp con el comando “ftp (IP del equipo a atacar)” o ssh con el comando “ssh (IP del equipo a atacar)”. En ftp nos pedirá usuario y contraseña, y para salir solo hay que escribir “exit”. Mientras que en el ssh nos preguntará si estamos seguros de que queremos seguir conectando, y decimos que sí.
10. Introducimos el comando “msfconsole” para ejecutar nuestro ataque. 11. Para terminar escribimos el exploit necesario para realizar el ataque, en el apartado PHOST introducimos la IP de “Metasploit”, en el apartado PAYLOAD el comando correspondiente, y en LHOST la IP de “Kali Linux”, por último escribimos exploit para ejecutar el ataque, y veremos que se realiza.
4. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoría. Tus notas son las siguientes: La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador. • ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos? o Sí, porque la Ley les obliga, y establece los derechos y obligaciones de los ciudadanos. • ¿Qué nivel de seguridad requerirá el fichero? o Básico • ¿Qué medidas de seguridad requiere este nivel? o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. o También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. o El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. • Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor. o Son infracciones leves: Sanciones entre 601,01 € y 60.101,21 € ▪ No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEDP) ▪ Recopilar datos personales sin informar previamente ▪ No atender a las solicitudes de rectificación o cancelación ▪ No atender las consultas por parte de la AGPD. o Son infracciones graves: Sanciones entre 60.101,21 € y 300.506,25 € ▪ No inscribir los ficheros en la AGPD. ▪ Utilizar los ficheros con distinta finalidad con la se crearon. ▪ No tener el consentimiento del interesado para recabar sus datos personales ▪ No permitir el acceso a los ficheros. ▪ Mantener datos inexactos o no efectuar las modificaciones solicitadas ▪ No seguir los principios y garantías de la LOPD ▪ Tratar datos especialmente protegidos sin la autorización del afectado ▪ No remitir a la AGPD las notificaciones previstas en la LOPD. ▪ Mantener los ficheros sin las debidas condiciones de seguridad. o Son infracciones muy graves: Sanciones entre 300.506,25 € y 601.012,1 €
▪ Crear ficheros para almacenar datos que revelen datos especialmente protegidos. ▪ Recogida de datos de manera engañosa o fraudulenta. ▪ Recabar datos especialmente protegidos sin la autorización del afectado. ▪ No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación. ▪ Vulnerar el secreto sobre datos especialmente protegidos. ▪ La comunicación o cesión de datos cuando ésta no esté permitida. ▪ No cesar en el uso ilegítimo a petición de la AGPD. ▪ Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación. ▪ No atender de forma sistemática los requerimientos de la AGPD. ▪ La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización

Recomendados

Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1Miguel Ángel Marchal Barrera
 
Proyecto1
Proyecto1Proyecto1
Proyecto1ElisabetBlanco
 
Redes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoRedes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoOscar Lombas Otegui
 
ISummit Seguridad en Redes Inalambricas
ISummit Seguridad en Redes InalambricasISummit Seguridad en Redes Inalambricas
ISummit Seguridad en Redes InalambricasRommel Gutierrez Roa
 
Teamviewerdiapositiva
TeamviewerdiapositivaTeamviewerdiapositiva
Teamviewerdiapositivabrivehu
 
Planificando un diseño y seguridad de red
Planificando un diseño y seguridad de redPlanificando un diseño y seguridad de red
Planificando un diseño y seguridad de redcarmen44rosa
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1LauraSLeon
 
Proyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránProyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránPatriD
 

Recomendados

Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1Miguel Ángel Marchal Barrera
 
Proyecto1
Proyecto1Proyecto1
Proyecto1ElisabetBlanco
 
Redes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoRedes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoOscar Lombas Otegui
 
ISummit Seguridad en Redes Inalambricas
ISummit Seguridad en Redes InalambricasISummit Seguridad en Redes Inalambricas
ISummit Seguridad en Redes InalambricasRommel Gutierrez Roa
 
Teamviewerdiapositiva
TeamviewerdiapositivaTeamviewerdiapositiva
Teamviewerdiapositivabrivehu
 
Planificando un diseño y seguridad de red
Planificando un diseño y seguridad de redPlanificando un diseño y seguridad de red
Planificando un diseño y seguridad de redcarmen44rosa
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1LauraSLeon
 
Proyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránProyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránPatriD
 
Proyecto1 SEIN
Proyecto1 SEINProyecto1 SEIN
Proyecto1 SEINPatriD
 
Waldy taller de computacion
Waldy taller de computacionWaldy taller de computacion
Waldy taller de computacionwaldypineda
 
Red lan alv
Red lan alvRed lan alv
Red lan alvVictor Salazar
 
Proyecto seguridad
Proyecto seguridadProyecto seguridad
Proyecto seguridadDaisy Imbaquingo
 
Laboratorio 1 2-3 (1)
Laboratorio 1 2-3 (1)Laboratorio 1 2-3 (1)
Laboratorio 1 2-3 (1)Alejandro13232014
 
Tarea
TareaTarea
TareaJuan Nuñez Ruiz
 
3° corte
3° corte3° corte
3° corteUniminuto - San Francisco
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Red lan
Red lanRed lan
Red lanVictor Salazar
 
Proyecto 5 (1)
Proyecto 5 (1)Proyecto 5 (1)
Proyecto 5 (1)Jose Luis Ruiz Perez
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)Leonel Ibarra
 
Proyecto 5
Proyecto 5Proyecto 5
Proyecto 5ElisabetBlanco
 
Segunda evaluación
Segunda evaluaciónSegunda evaluación
Segunda evaluaciónCarmenechevarria4a
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño MovistarUPS
 
Seguridad en linux
Seguridad en linuxSeguridad en linux
Seguridad en linuxginna caicedo
 
Diana 2010
Diana 2010Diana 2010
Diana 2010arevalodiana
 
Diana 2010
Diana 2010Diana 2010
Diana 2010arevalodiana
 
Investigación centro de maestros zumpango
Investigación centro de maestros zumpangoInvestigación centro de maestros zumpango
Investigación centro de maestros zumpangojuan1428
 
Mantenimiento preventivo y correctivo
Mantenimiento preventivo y correctivoMantenimiento preventivo y correctivo
Mantenimiento preventivo y correctivoSarahiLara3
 
Seguridad física en la empresa
Seguridad física en la empresaSeguridad física en la empresa
Seguridad física en la empresaDaniel Indalecio Cano Fernandez
 
Proyecto 5 - Seguridad Activa: SO y Apps
Proyecto 5 - Seguridad Activa: SO y AppsProyecto 5 - Seguridad Activa: SO y Apps
Proyecto 5 - Seguridad Activa: SO y AppsÁngel Sardinero López
 
Proyecto 7 - Seguridad Activa: Control de Redes
Proyecto 7 - Seguridad Activa: Control de RedesProyecto 7 - Seguridad Activa: Control de Redes
Proyecto 7 - Seguridad Activa: Control de RedesÁngel Sardinero López
 

Más contenido relacionado

Similar a Proyecto 1 - Conceptos

Proyecto1 SEIN
Proyecto1 SEINProyecto1 SEIN
Proyecto1 SEINPatriD
 
Waldy taller de computacion
Waldy taller de computacionWaldy taller de computacion
Waldy taller de computacionwaldypineda
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)Leonel Ibarra
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño MovistarUPS
 
Investigación centro de maestros zumpango
Investigación centro de maestros zumpangoInvestigación centro de maestros zumpango
Investigación centro de maestros zumpangojuan1428
 
Mantenimiento preventivo y correctivo
Mantenimiento preventivo y correctivoMantenimiento preventivo y correctivo
Mantenimiento preventivo y correctivoSarahiLara3
 

Similar a Proyecto 1 - Conceptos (20)

Proyecto1 SEIN
Proyecto1 SEINProyecto1 SEIN
Proyecto1 SEIN
 
Waldy taller de computacion
Waldy taller de computacionWaldy taller de computacion
Waldy taller de computacion
 
Red lan alv
Red lan alvRed lan alv
Red lan alv
 
Proyecto seguridad
Proyecto seguridadProyecto seguridad
Proyecto seguridad
 
Laboratorio 1 2-3 (1)
Laboratorio 1 2-3 (1)Laboratorio 1 2-3 (1)
Laboratorio 1 2-3 (1)
 
Tarea
TareaTarea
Tarea
 
3° corte
3° corte3° corte
3° corte
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
 
Red lan
Red lanRed lan
Red lan
 
Proyecto 5 (1)
Proyecto 5 (1)Proyecto 5 (1)
Proyecto 5 (1)
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)
 
Proyecto 5
Proyecto 5Proyecto 5
Proyecto 5
 
Segunda evaluación
Segunda evaluaciónSegunda evaluación
Segunda evaluación
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño Movistar
 
Seguridad en linux
Seguridad en linuxSeguridad en linux
Seguridad en linux
 
Diana 2010
Diana 2010Diana 2010
Diana 2010
 
Diana 2010
Diana 2010Diana 2010
Diana 2010
 
Investigación centro de maestros zumpango
Investigación centro de maestros zumpangoInvestigación centro de maestros zumpango
Investigación centro de maestros zumpango
 
Mantenimiento preventivo y correctivo
Mantenimiento preventivo y correctivoMantenimiento preventivo y correctivo
Mantenimiento preventivo y correctivo
 
Seguridad física en la empresa
Seguridad física en la empresaSeguridad física en la empresa
Seguridad física en la empresa
 

Más de Ángel Sardinero López

Proyecto 5 - Seguridad Activa: SO y Apps
Proyecto 5 - Seguridad Activa: SO y AppsProyecto 5 - Seguridad Activa: SO y Apps
Proyecto 5 - Seguridad Activa: SO y AppsÁngel Sardinero López
 
Proyecto 7 - Seguridad Activa: Control de Redes
Proyecto 7 - Seguridad Activa: Control de RedesProyecto 7 - Seguridad Activa: Control de Redes
Proyecto 7 - Seguridad Activa: Control de RedesÁngel Sardinero López
 
Proyecto 6 - Seguridad Activa: Acceso a redes
Proyecto 6 - Seguridad Activa: Acceso a redesProyecto 6 - Seguridad Activa: Acceso a redes
Proyecto 6 - Seguridad Activa: Acceso a redesÁngel Sardinero López
 
Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Ángel Sardinero López
 
Proyecto 4 - Seguridad Pasiva: Almacenamiento
Proyecto 4 - Seguridad Pasiva: AlmacenamientoProyecto 4 - Seguridad Pasiva: Almacenamiento
Proyecto 4 - Seguridad Pasiva: AlmacenamientoÁngel Sardinero López
 
Instalación y configuración de windows 2016 server
Instalación y configuración de windows 2016 serverInstalación y configuración de windows 2016 server
Instalación y configuración de windows 2016 serverÁngel Sardinero López
 
Freemake video converter proyecto Ángel Sardinero
Freemake video converter proyecto Ángel SardineroFreemake video converter proyecto Ángel Sardinero
Freemake video converter proyecto Ángel SardineroÁngel Sardinero López
 

Más de Ángel Sardinero López (11)

Proyecto 5 - Seguridad Activa: SO y Apps
Proyecto 5 - Seguridad Activa: SO y AppsProyecto 5 - Seguridad Activa: SO y Apps
Proyecto 5 - Seguridad Activa: SO y Apps
 
Proyecto 7 - Seguridad Activa: Control de Redes
Proyecto 7 - Seguridad Activa: Control de RedesProyecto 7 - Seguridad Activa: Control de Redes
Proyecto 7 - Seguridad Activa: Control de Redes
 
Proyecto 6 - Seguridad Activa: Acceso a redes
Proyecto 6 - Seguridad Activa: Acceso a redesProyecto 6 - Seguridad Activa: Acceso a redes
Proyecto 6 - Seguridad Activa: Acceso a redes
 
Proyecto 2 - Criptografía
Proyecto 2 - CriptografíaProyecto 2 - Criptografía
Proyecto 2 - Criptografía
 
Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.
 
Proyecto 4 - Seguridad Pasiva: Almacenamiento
Proyecto 4 - Seguridad Pasiva: AlmacenamientoProyecto 4 - Seguridad Pasiva: Almacenamiento
Proyecto 4 - Seguridad Pasiva: Almacenamiento
 
Proyecto 3 - Seguridad activa: Equipos
Proyecto 3 - Seguridad activa: EquiposProyecto 3 - Seguridad activa: Equipos
Proyecto 3 - Seguridad activa: Equipos
 
Proyecto 2 criptografía
Proyecto 2 criptografíaProyecto 2 criptografía
Proyecto 2 criptografía
 
Instalación y configuración de windows 2016 server
Instalación y configuración de windows 2016 serverInstalación y configuración de windows 2016 server
Instalación y configuración de windows 2016 server
 
Presentacion Gon Visor
Presentacion Gon VisorPresentacion Gon Visor
Presentacion Gon Visor
 
Freemake video converter proyecto Ángel Sardinero
Freemake video converter proyecto Ángel SardineroFreemake video converter proyecto Ángel Sardinero
Freemake video converter proyecto Ángel Sardinero
 

Último

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
COMOGANARAMIGODPARACRISTOIGLESIAADVENTISTANECOCLI,COM
COMOGANARAMIGODPARACRISTOIGLESIAADVENTISTANECOCLI,COMCOMOGANARAMIGODPARACRISTOIGLESIAADVENTISTANECOCLI,COM
COMOGANARAMIGODPARACRISTOIGLESIAADVENTISTANECOCLI,COMcespitiacardales
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
libro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdflibro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdfFAUSTODANILOCRUZCAST
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 

Último (10)

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
COMOGANARAMIGODPARACRISTOIGLESIAADVENTISTANECOCLI,COM
COMOGANARAMIGODPARACRISTOIGLESIAADVENTISTANECOCLI,COMCOMOGANARAMIGODPARACRISTOIGLESIAADVENTISTANECOCLI,COM
COMOGANARAMIGODPARACRISTOIGLESIAADVENTISTANECOCLI,COM
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
libro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdflibro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdf
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 

Proyecto 1 - Conceptos

  • 1. PROYECTO 1 - CONCEPTOS RA: Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades 1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer? • El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle. o Deberían contratar más personal para la seguridad del edificio, aparte de eso, la única persona encargada de esta función también tiene que atender el edificio de enfrente, con la poca efectividad en ambos casos. • El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista. o Aquí tenemos el mismo problema que en anterior caso, falta personal para la seguridad, con la ventaja de que al menos este vigilante está 100% pendiente de su función hasta las 3. • Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia. o El personal de limpieza también debería tener una tarjeta particular que lleven siempre consigo, podría haber un roco en el cajón de la mesa del vigilante y tener acceso. • Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva). o La copia de seguridad debería realizarse cada vez que se actualice algún dato, para evitar pérdidas de los mismos. Las cintas deberían dejarse guardadas con algún tipo de protección física, y a ser posible con otra digital para evitar su fácil acceso y manipulación. • El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas. o Al estar abiertas las ventanas se permite el acceso de varios elementos inconvenientes para el mantenimiento de los equipos, por tanto habría que buscar una forma de colocar el aire acondicionado u otra medida de refrigeración • Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
  • 2. • Los servidores tienen doble fuente de alimentación, por si se estropea alguna. • El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña. o Deberían poner algún tipo de cifrado para proteger la información, por ejemplo con una contraseña, varios caracteres, tanto letras como números, como símbolos especiales, puesto que mayor desastre sería la pérdida de la información que contienen esos ordenadores. • Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno. o Debería haber una copia de seguridad para cada usuario puesto que pueden cometer errores, y sería el método más fácil para solucionar un problema inesperado. RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico 2. Al día siguiente continúa la entrevista. Termina la entrevista del segundo día porque tiene otro compromiso. De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer? Tus nuevas notas son: • Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad. o Debería haber al menos una contraseña para que solo pudiera entrar personal autorizado, además de que no se deberían mezclar las dos redes por que podría ralentizarse. • La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata. o Deberían comprar Windows 10 ya que es la versión más reciente y hay menos posibilidades de acceso que en las versiones anteriores, si llegara una inspección y vieran que es un sistema pirata podrían multarles. Si el presupuesto no fuera suficiente, podrían considerar la opción de usar Linux, que es gratuito, pero sin soporte técnico. • En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB. o Todos deberían instalar el mismo antivirus ya que cada uno puede tener un problema distinto y perder mucho tiempo en encontrarlo en todos. En cuanto a pasarlo por USB, tampoco deberían hacerlo, porque si hubiese malware en el dispositivo, se iría pasando igual que el antivirus.
  • 3. • Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet. o Deberían tener activadas las actualizaciones automáticas, ya que siempre es mejor la última versión, puesto que se corrigen fallos de las versiones anteriores. En cuanto a la saturación deberían programar un horario de inactividad de ordenadores, para aprovechar y actualizar esos equipos. • La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente. o Deberían usar switch y routers, ya que aunque los hubs son más rápidos, los switch y routers son más seguros. • Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar. o Se ahorra un dinero al ser gratuito pero al ser sencillo de instalar, también tiene varias vulnerabilidades, mi opinión es que deberían utilizar otro tipo de aplicación. • El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04. o Se debería actualizar Linux a la última versión para cerrar posibles brechas de seguridad y tener más funciones y mejores recursos que en las versiones anteriores.
  • 4. 3. Realiza una memoria con los pasos que has realizado, incluyendo capturas. 1. Hacemos ifconfig en Kali Linux para saber la dirección IP que tenemos. 2. Hacemos ping desde Metasploit a Kali Linux y vemos que hay conexión a la red.
  • 5. 3. Hacemos lo mismo desde Kali Linux a Metasploit. 4. Introducimos el comando “nmap –Sp (Nuestra red, en este caso 192.168.1.0).
  • 6. 5. Aquí localizamos la máquina a la que vamos a atacar. 6. A continuación para hacer el escáner introducimos el comando “nmap -sT -O (IP del equipo a atacar, en este caso 192.168.1.158)”.
  • 7. 7. Introducimos el comando "nmap -sT -sV (IP del equipo a atacar, en este caso 192.168.1.158)" para obtener la versión de los servicios y saber que ataque ejecutar. 8. Introducimos el comando “telnet (IP del equipo a atacar) y (puerto de telnet)”, después ponemos el usuario y la contraseña.
  • 8. 9. Ahora ejecutaremos programas como ftp con el comando “ftp (IP del equipo a atacar)” o ssh con el comando “ssh (IP del equipo a atacar)”. En ftp nos pedirá usuario y contraseña, y para salir solo hay que escribir “exit”. Mientras que en el ssh nos preguntará si estamos seguros de que queremos seguir conectando, y decimos que sí.
  • 9. 10. Introducimos el comando “msfconsole” para ejecutar nuestro ataque. 11. Para terminar escribimos el exploit necesario para realizar el ataque, en el apartado PHOST introducimos la IP de “Metasploit”, en el apartado PAYLOAD el comando correspondiente, y en LHOST la IP de “Kali Linux”, por último escribimos exploit para ejecutar el ataque, y veremos que se realiza.
  • 10. 4. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoría. Tus notas son las siguientes: La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador. • ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos? o Sí, porque la Ley les obliga, y establece los derechos y obligaciones de los ciudadanos. • ¿Qué nivel de seguridad requerirá el fichero? o Básico • ¿Qué medidas de seguridad requiere este nivel? o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. o También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. o El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. • Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor. o Son infracciones leves: Sanciones entre 601,01 € y 60.101,21 € ▪ No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEDP) ▪ Recopilar datos personales sin informar previamente ▪ No atender a las solicitudes de rectificación o cancelación ▪ No atender las consultas por parte de la AGPD. o Son infracciones graves: Sanciones entre 60.101,21 € y 300.506,25 € ▪ No inscribir los ficheros en la AGPD. ▪ Utilizar los ficheros con distinta finalidad con la se crearon. ▪ No tener el consentimiento del interesado para recabar sus datos personales ▪ No permitir el acceso a los ficheros. ▪ Mantener datos inexactos o no efectuar las modificaciones solicitadas ▪ No seguir los principios y garantías de la LOPD ▪ Tratar datos especialmente protegidos sin la autorización del afectado ▪ No remitir a la AGPD las notificaciones previstas en la LOPD. ▪ Mantener los ficheros sin las debidas condiciones de seguridad. o Son infracciones muy graves: Sanciones entre 300.506,25 € y 601.012,1 €
  • 11. ▪ Crear ficheros para almacenar datos que revelen datos especialmente protegidos. ▪ Recogida de datos de manera engañosa o fraudulenta. ▪ Recabar datos especialmente protegidos sin la autorización del afectado. ▪ No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación. ▪ Vulnerar el secreto sobre datos especialmente protegidos. ▪ La comunicación o cesión de datos cuando ésta no esté permitida. ▪ No cesar en el uso ilegítimo a petición de la AGPD. ▪ Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación. ▪ No atender de forma sistemática los requerimientos de la AGPD. ▪ La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización