1ª PARTE
ENCUESTAS: PROYECTO 1 - CONCEPTOS
RA:
Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características
de entornos y relacionándolas con sus necesidades
Trabajas en una auditoria de seguridad
informática. Llega un nuevo cliente que desea
conocer la situación de su empresa y si es aceptable o podría mejorar. Durante
la entrevista tomas las siguientes notas:
El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.
Muy mal porque la seguridad de una empresa es lo mas importante, porque los datos de los clientes y usuarios deben estar protegidos.
El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.
Mala decisión porque el vigilante debe estar pendiente de los CPD, porque si ocurre un problema y el esta de recepcionista se puede estropear el CPD y crear perdidas para la empresa.
Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.
Mal por una parte, porque si entra una persona ajena a la empresa puede entrar al CPD
Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).
Para las copias de seguridad el método que llevan no es el mas apropiado debido que las copas son muy importantes, para ello las copias de seguridad deben ser redundaste y estar en mas de un disco.
El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.
Muy mala opción porque la ventilación del CPD es muy importante, porque pueden recalentarse y al tener las ventanas abiertas cualquier persona ajena a la empresa puede entrar al CPD.
Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
Por mas gama alta que sea hay que prevenir y tener siempre mas de 1 disco duro por si se estropea.
Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
Esta medida de seguridad es muy buena y es lo mas recomendable
El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.
No es muy buena opción porque si le roban el ordenador y cae en manos de la competencia, el futuro y la estrategia de la empresa esta en juego
Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.
No se puede dar privilegios de administrador a los usuarios. Por que si un empleado quiere hacer daño a la empresa aprovechara esta opción.
RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico
Al día siguiente continúa la entrevista. Tus nuevas notas son:
Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.
Asegurar la conexión a esta red mediante contraseña segura ( que contenga caracteres alfanuméricos, signos, no sea trivial etc)
La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.
Aunq no dispongan de dinero esta opcion no es la mas correcta debido a que el software pirata puede contener un virus y poner en serios problemas a la empresa
En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.
Quien debería encargarse de los antivirus debería ser el de mantenimiento, por que el USB puede estar infectado de un virus y al pasar de un PC a otro puede infectar a todos
Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.
La opción que les daría seria en que se descargaran todas las actualizaciones en un servidor. Y cuando se quiera hacer una actualización los usuarios se conecten al servidor y así se evita la saturación de Internet
La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.
Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar.
Cambiar el modo de acceso por que hamachi no es muy seguro e inestable
El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04.
RA: Reconocer la legislación y normativa sobre seguridad y protección de datos analizando las repercusiones de su incumplimiento
Como te encuentras un poco pez sobre la LOPD, decides buscar información sobre distintos conceptos que te suena que están relacionados y sobre cuestiones que te surgen sobre el tema.
Elige uno de los siguientes temas, prepara una presentación y exponga al resto de tus compañeros.
- Qué regula la LOPD (Ley Orgánica de Protección de Datos).
- Niveles que establece según la sensibilidad de los datos y medidas a tomar en cada nivel.
- Según la actual LOPD, en qué nivel se sitúa el tratamiento de los siguientes datos:
b) Historial médico de una persona
c) Orientación sexual de una persona
d) Dirección personal o social de un titular o empresa
e) Afiliación política
f) Información tributaria básica
- Sanciones por no cumplir la LOPD.
- Funciones de la AGPD/APD (Agencia de Protección de Datos).
- Ejemplo de documento en papel u on-line donde se informe de nuestros derechos sobre los datos recabados.
- Qué regula la LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
- Qué regula la LPI (Ley de Propiedad Intelectual).
- El canon digital.
- La SGAE.
- Administración electrónica.
- Firma electrónica.
- Ley sobre normas reguladoras de firma electrónica.
- El DNI electrónico.
- Ley sobre el DNI electrónico.
Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoria. Tus notas son las siguientes:
La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.
¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos?
Si por que es quien da la autorización de la creación de estos ficheros
¿Qué nivel de seguridad requerirá el fichero?
Básico porque son datos personales
¿Qué medidas de seguridad requiere este nivel?
- Registro de datos recogidos
- Copias de seguridad de los datos
- Acceso restringido a los usuarios
- Medidas de seguridad como autenticar y autorización
Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor.
- Son infracciones leves: sanciones entre 900 € y 40.000 €
- No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
- No solicitar la inscripción del fichero en el Registro General de Protección de Datos
- Recopilar datos personales sin informar previamente
- No atender a las solicitudes de rectificación o cancelación
- Transmitir datos a un encargado de tratamiento sin cumplir las obligaciones formales.
- No inscribir los ficheros en la AEPD.
- Utilizar los ficheros con finalidad distinta con la se crearon.
- No tener el consentimiento del interesado para recabar sus datos personales.
- No permitir el acceso a los ficheros.
- Mantener datos inexactos o no efectuar las modificaciones solicitadas.
- No seguir los principios y garantías de la LOPD.
- Tratar datos especialmente protegidos sin la autorización del afectado
- No remitir a la AGPD las notificaciones previstas en la LOPD.
- Mantener los ficheros sin las debidas condiciones de seguridad.
PROYECTO 2 - CRIPTOGRAFÍA
RA:
Asegurar la privacidad de la información transmitida en redes informáticas
describiendo vulnerabilidades e instalando software específico
Tu jefe te llama porque sospecha que un
hacker está teniendo acceso a documentos confidenciales que se mandan a través
de la red. Las únicas vías por las que se intercambian estos documentos son el
correo electrónico y el servicio de FTP.
Los correos electrónicos se intercambian a
través de la plataforma de Google, GMail.
1. Analiza la idoneidad de esta vía para intercambiar
información confidencial.
2. Investiga alternativas a esta solución.
2. Investiga alternativas a esta solución.
Los ajustes por defecto de Gmail proporcionan una seguridad robusta. Los datos que ven los usuarios están protegidos con el estándar de cifrado 128 bits. Google transmite los datos a los usuarios a través de una capa de seguridad 1.1. Además, los datos cifrados se verifican a través del sistema de funciones SHA1 y se descodifican mediante el mecanismo ECDHE_RSA Gmail como medida de seguridad utiliza el protocolo HTTPS, que lo que hace es encriptar y crear una conexión segura entre el emisor y el receptor. Para asegurarnos de que es seguro debemos realizar frecuentemente lo siguiente:
Para ver el contenido ponemos como filtro ftp-data y podremos ver el contenido del fichero que transferimos
- Actualiza tu dirección de correo electrónico de recuperación y tu pregunta de seguridad. Así podrás recuperar tu cuenta si alguna vez pierdes el acceso a ella.
- Utiliza una conexión segura al acceder a tu cuenta.En la página de configuración de Gmail, selecciona "Usar siempre https".
- No desvelar la contraseña a nadie
- Utiliza una contraseña segura y no enviarla por correo electrónico.
- Si observas cualquier cambio en tu cuenta que no hayas efectuado tú, realiza un análisis y cambia de contraseña inmediatamente.
- Si accedes a tu cuenta desde un equipo público, sal de la cuenta al terminar de utilizarlo.
- Elimina la información de formularios, las contraseñas, las cookies y la caché del navegador con frecuencia, sobre todo si utilizas un equipo público.
- Actualiza con frecuencia el sistema operativo y el navegador
Los ficheros se intercambian por FTP a
través de la aplicación FileZilla. Se descargaron tanto el servidor como el
cliente de Internet y se instalaron con la configuración básica. En la empresa
tienen equipos ejecutándose tanto en Windows como en Linux.
Comprueba,
a través de dos equipos, lo segura que es la transmisión de ficheros con esta
aplicación. Para ello:
a) Descárgate el servidor y el cliente de la página del
proyecto Filezilla. Instala cada uno en un equipo. El servidor irá sobre una
máquina Windows y el cliente sobre una máquina Linux (Ubuntu 12.04).
Crea en el servidor un usuario con contraseña.
Comprueba que cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero.
Crea en el servidor un usuario con contraseña.
Comprueba que cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero.
b) Descarga la aplicación Wireshark de la página oficial e instálalo
en el servidor. Inicia una captura de tráfico.
Conéctate al servidor para realizar la transferencia de un fichero de texto.
Termina la captura y localiza los paquetes donde va el usuario y la contraseña y algunos paquetes del contenido.
iniciamos Wireshark y le damos en Start
Abrimos el Wireshark y podremos ver como capturamos la contraseña y el nombre del usuario
Conéctate al servidor para realizar la transferencia de un fichero de texto.
Termina la captura y localiza los paquetes donde va el usuario y la contraseña y algunos paquetes del contenido.
iniciamos Wireshark y le damos en Start
Se nos abrirá una ventana y ponemos FTP como filtro.
Nos conectamos al servidor desde el cliente y transferimos un archivo en mi caso Prueba2
Abrimos el Wireshark y podremos ver como capturamos la contraseña y el nombre del usuario
Para ver el contenido ponemos como filtro ftp-data y podremos ver el contenido del fichero que transferimos
Analiza
una primera solución para garantizar la seguridad del intercambio de ficheros,
realizando un cifrado asimétrico previo a la transmisión del fichero. Para
ello:
a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado asimétrico en Linux) para cifrar el fichero que se va a
transmitir vía FTP.
Ya viene instalado el GPG
Lo primero sera generar un par de claves asimétricas.Para ella utilizamos el comando:
sudo gpg --gen-key
Elegimos la 2 opción que tiene algoritmos distintos asi vemos cuando se utiliza cada clave
Después nos pedirá el tamaño de la clave y elegimos 1024 para que tarda menos.
Nos pedirá que seleccionemos el periodo de valides y seleccionamos la opción de nunca caducara.
Lo rellenamos con los siguientes datos
Y nos genera las 2 claves:
Para ver la clave publica y privada utilizamos la orden: sudo ls -l .gnupg/ que es donde estará guardada la contraseña publica (pubring.gpg) y la clave privada (secring.gpg)
Para ver la lista de claves utilizamos la orden: sudo gpg --list -keys
Ahora exportamos la clave con la orden: sudo gpg -a --export -o /tmp/xavier.pub xavier
Para ver lo que hemos exportado utilizamos la orden: head /tmp/xavier.pub
Creamos un segundo usuario llamado profesor y accedemos a el para importar la clave publica de alumno.Para importar utilizamos la orden: gpg --import /tmp/xavier.pub
Podemos consultar las claves con la orden: gpg --list-keys
Cifraremos un mensaje.
Creamos primero un mensaje con la orden: fortune > mensaje
Después enviamos el mensaje cifrado con la orden: gpg -v -a -o /tmp/mensaje.cifrado --encrypt --recipient xavier mensaje
Ahora entramos en usuario xavier y utilizamos la orden : gpg --fingerprint para comprobar la huella del mensaje que enviamos anteriormente
Desciframos el fichero.
Para ello utilizamos la orden: gpg --decrypt /tmp/mensaje.cifrado
Ya viene instalado el GPG
Lo primero sera generar un par de claves asimétricas.Para ella utilizamos el comando:
sudo gpg --gen-key
Elegimos la 2 opción que tiene algoritmos distintos asi vemos cuando se utiliza cada clave
Nos pedirá que seleccionemos el periodo de valides y seleccionamos la opción de nunca caducara.
Lo rellenamos con los siguientes datos
Y nos genera las 2 claves:
Para ver la clave publica y privada utilizamos la orden: sudo ls -l .gnupg/ que es donde estará guardada la contraseña publica (pubring.gpg) y la clave privada (secring.gpg)
Para ver la lista de claves utilizamos la orden: sudo gpg --list -keys
Ahora exportamos la clave con la orden: sudo gpg -a --export -o /tmp/xavier.pub xavier
Para ver lo que hemos exportado utilizamos la orden: head /tmp/xavier.pub
Creamos un segundo usuario llamado profesor y accedemos a el para importar la clave publica de alumno.Para importar utilizamos la orden: gpg --import /tmp/xavier.pub
Podemos consultar las claves con la orden: gpg --list-keys
Cifraremos un mensaje.
Creamos primero un mensaje con la orden: fortune > mensaje
Después enviamos el mensaje cifrado con la orden: gpg -v -a -o /tmp/mensaje.cifrado --encrypt --recipient xavier mensaje
Ahora entramos en usuario xavier y utilizamos la orden : gpg --fingerprint para comprobar la huella del mensaje que enviamos anteriormente
Desciframos el fichero.
Para ello utilizamos la orden: gpg --decrypt /tmp/mensaje.cifrado
Investiga
y describe otras posibles soluciones
que permitan un intercambio seguro de información vía FTP, de modo que no se
puedan identificar en la comunicación (al conectar el sniffer) el usuario, la
contraseña ni el contenido del fichero.
Para cifrar los datos que enviamos a traves de el servidor FTP o que hacemos es cifrar el archivo con SLL que es un protocolo de seguridad.
Si utilizamos esta seguridad necesitaremos un servidor que compruebe que nuestro certificado es autentico.
Para cifrar los datos que enviamos a traves de el servidor FTP o que hacemos es cifrar el archivo con SLL que es un protocolo de seguridad.
Si utilizamos esta seguridad necesitaremos un servidor que compruebe que nuestro certificado es autentico.
No hay comentarios:
Publicar un comentario