martes, 22 de noviembre de 2016

Practica 3 Sein


miércoles, 2 de noviembre de 2016

Práctica 2 SEIN

Tu jefe te llama porque sospecha que un hacker está teniendo acceso a documentos confidenciales que se mandan a través de la red. Las únicas vías por las que se intercambian estos documentos son el correo electrónico y el servicio de FTP.
1.       Los correos electrónicos se intercambian a través de la plataforma de Google, GMail.
a)      Analiza la idoneidad de esta vía para intercambiar información confidencial.
No son muy idóneos dado que normalmente no suelen tener mucha seguridad especialmente Gmail quien ya ha sido hackeada en diversas ocasiones por vulnerabilidades que facilitarían el robo del correo de una persona
FTP tiene el problema de que tanto el login como los datos que se intercambien no están cifrados una vulnerabilidad demasiado grande
b)      Investiga alternativas a esta solución.
Para más seguridad sería recomendable utilizar una criptografía asimétrica o hibrida (preferiblemente la segunda para tener mas seguridad ) y utilizar FTPS que es la unión del protocolo FTP con una capa SSL/TLS que se encargaría de cifrar los canales y los datos lo cual haría que tuviéramos un medio de comunicación rápido y mas seguro que antes


2.       Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron tanto el servidor como el cliente de Internet y se instalaron con la configuración básica. En la empresa tienen equipos ejecutándose tanto en Windows como en Linux.
Comprueba, a través de dos equipos, lo segura que es la transmisión de ficheros con esta aplicación. Para ello:
a)      Descárgate el servidor y el cliente de la página del proyecto Filezilla. Instala cada uno en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre una máquina Linux (Ubuntu 12.04).
Crea en el servidor un usuario con contraseña.
Comprueba que cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero.
Como se puede ver en la imagen en esta instalada y se pueden bajar archivos del servidor
b)      Descarga la aplicación Wireshark de la página oficial e instálalo en el servidor. Inicia una captura de tráfico.
Conéctate al servidor para realizar la transferencia de un fichero de texto. Termina la captura y localiza los paquetes donde va el usuario y la contraseña de acceso al servidor FTP y algunos paquetes del contenido.
Analiza una primera solución para garantizar la seguridad del intercambio de ficheros, realizando un cifrado asimétrico previo a la transmisión del fichero. Para ello:
a)      Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado asimétrico en Linux) necesarios para cifrar el fichero que se va a transmitir vía FTP (no es necesario realizar todo el caso práctico).
b)      Activa de nuevo la captura de tráfico en el servidor y realiza la transferencia del fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña de acceso al servidor FTP? ¿Y los paquetes de contenido?

3.       Investiga y describe otras posibles soluciones que permitan un intercambio seguro de información vía FTP, de modo que no se puedan identificar en la comunicación (al conectar el sniffer) el usuario, la contraseña ni el contenido del fichero.
Lo ideal meterle al servidor FTP una capa SSL/TLS lo cual lo que en teoría tendría que hacer es encriptar todos los mensajes que enviemos y recibamos , esto solucionaría el problema de forma fácil y sencilla.


4.       Has conseguido que la información se intercambie de forma segura entre cliente y servidor FTP. Pero para que los usuarios que puedan acceder al servidor y se descarguen un fichero, puedan acceder a la información del mismo, es necesario que puedan desencriptarlo. Piensa cómo podrías hacer que solo los usuarios de la empresa (o los que sean de confianza) puedan acceder al contenido de ficheros encriptados en el servidor FTP.

Dos opciones o bien configuramos un Usuario FTP para cada uno y le vamos dando los permisos uno a uno ( algo muy tedioso) o por el contrario creamos varios grupos y a esos grupos les asignamos la posibilidad de entrar y leer documentos o no, posteriormente asociamos cada cliente o usuario a un grupo determinado en función de los permisos que le queramos dar y de este modo solo los usuarios de determinado grupo podrán acceder a la información
Nuevamente te llama tu jefe. Parece que está nervioso y muy inquieto. Te explica que alguien está tratando de chantajearle con publicar fotos indiscretas de su cuenta de Apple. Cree que han accedido a su cuenta contestando a las preguntas de seguridad que plantea Apple cuando se te ha olvidado la contraseña. Las preguntas son las siguientes:


5.       Ayuda a tu jefe (que se llama John Cinebi) a descubrir por qué es vulnerable el sistema de recuperación de contraseña mostrado. Para ello haz uso de la información que aparece sobre él en las redes sociales. Utiliza también herramientas de obtención de información “oculta” (metadatos), como Foca Free o GeoSetter.
Ha tenido dos problemas el primero es subir a su red social una información que se usa para responder una pregunta de seguridad y la segunda que en la imagen en los metadatos se puede localizar la zona desde donde se hico con un programa como Geosetter

6.       Explícale también cómo eliminar los metadatos de un archivo.


Tendremos que ir a el archivo/propiedades y en propiedades vamos a detalles seleccionamos quitar propiedades e información personal y desde hay  eliminar todos los datos

lunes, 24 de octubre de 2016

Personal

Mi mayor pasatiempo es jugar videojuegos, principalmente por que considero que es algo muy divertido, que me permite disfrutar de fantásticas historias con grandes personajes en lo que mínimo me divierto y aparte aprendo valiosas enseñanzas sobre la vida como nunca rendirse o el ser optimista , lo único malo es que es un pasatiempo un poco caro XD Esto que voy a poner es sobre todo para ahorrarme tiempo en hacer otra entrada que estoy vago XD

domingo, 23 de octubre de 2016

miércoles, 5 de octubre de 2016

Proyecto 1

Proyecto 1
1.               Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:

1.       El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.
2.       El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.
3.       Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.
4.       Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).
5.       El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.
6.       Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
7.       Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
8.       El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.
9.       Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.
                                       
Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?:
1.       Para este caso sería preferible que el vigilante solo tuviera que atender a nuestra empresa pero si eso no es posible pues es preferible que se implementase un sistema de seguridad en el que para poder entrar en la empresa sea necesario una tarjeta que solo tienen en propiedad los empleados
2.       En este caso lo mejor sería que el que sustituyese a la recepcionista atendiendo el teléfono por otro empleado , pues poner al vigilante del CPD es un problema de seguridad muy grande
3.       Para mejorar la seguridad hay que añadir que esa tarjeta para la limpieza o para emergencias este como mínimo en un cajón con llave para que sea más difícil robarla
4.       Comprar mas dispositivos de cinta para poder hacer las copias de seguridad al mismo tiempo y en lugar de hacer una copia al mes, es preferible que los servidores hagan copias como mínimo semanalmente , y también sería recomendable poner un mejor sitio para guardar las copias como en un cajón y etiquetarlas para saber de qué servidor es la copia
5.       Poner unas rendijas en las ventanas pos si las moscas
6.       Por si acaso pon un segundo disco duro no vaya a ser que falle y perdamos todo
7.       Pues sería preferible poner una alimentación en espejo
8.       Mejor que se cifren los dos discos duros y que la contraseña que utilice la apunte en algún sitio y le lleve siempre encima o lo guarde en un sitio seguro
9.       Sería mejor que Hubiera dos usuarios uno para los empleados en donde se harían las tareas normales y otra que sería el administrador que solo podrían utilizar yo y que fuera para instalar programas

Al día siguiente continúa la entrevista. Tus nuevas notas son:

  1.    Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.
  2.       La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.
  3.    En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.
  4.      Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.
  5.      La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.
  6.       Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instala
  7.        El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04.


Termina la entrevista del segundo día porque tiene otro compromiso. De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?
1.       Poner una contraseña en el Wi-Fi preferiblemente que sea larga t que contenga letras mayúsculas y minúsculas ,signos y números
2.       En los que sea necesario y si es posible que pillen el original pagado pero que si no se pillen un sistema operativo gratuito como UBUNTU
3.       Nada mejor que utilicen solo un antivirus y que el medio de descarga sea mediante CD , la página oficial
4.       Se configura para que se actualicen por la noche mientras nadie los utilice
5.       Nada
6.        Quitar el hamachi y poner otra cosa
7.  Instalar la última versión de Ubuntu Server si hay 

Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoria. Tus notas son las siguientes:
La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.
¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos? 
Si , debería inscribirse en la agencia
¿Qué nivel de seguridad requerirá el fichero? 
Nivel Básico
¿Qué medidas de seguridad requiere este nivel? 
 Pues el archivo tendría que estar encriptado y que el permiso de léctura o modificación tiene que solo tenerlo solo las personas indispensables 


viernes, 23 de septiembre de 2016

slideshare

calameo

Los ejercicios de Sere , se entregan el jueves que viene
Ejercicios de Sere Unidad 1

Ultima entrada de hoy

Bueno aquí están todas las entradas que voy a subir hoy así que creo que puedo decir que ya controlo el tema de las etiquetas y las entradas

Empezamos con servidores en Red

Bueno y esta sera la primera entrada que tenga la etiqueta de Servicios en Red así que espero no enredarme mucho haciendo esto :

Primer entrada de Inglés

Y para empezar con este apartado solo dedicado al Inglés es necesario que ponga esto :

jueves, 22 de septiembre de 2016

World Of Warcraft, WoW Pointer 14