Download - Proyecto 2
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 1 DE 12
Índice RA: ASEGURAR LA PRIVACIDAD DE LA INFORMACIÓN TRANSMITIDA EN REDES INFORMÁTICAS
DESCRIBIENDO VULNERABILIDADES E INSTALANDO SOFTWARE ESPECÍFICO ................................. 2
1. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail. .. 2
a) Analiza la idoneidad de esta vía para intercambiar información confidencial. ............ 2
b) Investiga alternativas a esta solución. .......................................................................... 2
2. Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron
tanto el servidor como el cliente de Internet y se instalaron con la configuración básica. En la
empresa tienen equipos ejecutándose tanto en Windows como en Linux. .............................. 2
a) Descárgate el servidor y el cliente de la página del proyecto Filezilla. Instala cada uno
en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre una máquina
Linux (Ubuntu 12.04). Crea en el servidor un usuario con contraseña. Comprueba que
cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina
Windows y transfiriendo algún fichero. ................................................................................ 2
b) Descarga la aplicación Wireshark de la página oficial e instálalo en el servidor. Inicia
una captura de tráfico. Conéctate al servidor para realizar la transferencia de un fichero
de texto. Termina la captura y localiza los paquetes donde va el usuario y la contraseña de
acceso al servidor FTP y algunos paquetes del contenido. ................................................... 2
a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado asimétrico
en Linux) necesarios para cifrar el fichero que se va a transmitir vía FTP (no es necesario
realizar todo el caso práctico). .............................................................................................. 2
b) Activa de nuevo la captura de tráfico en el servidor y realiza la transferencia del
fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña de acceso al servidor
FTP? ¿Y los paquetes de contenido? ..................................................................................... 5
3. Investiga y describe otras posibles soluciones que permitan un intercambio seguro de
información vía FTP, de modo que no se puedan identificar en la comunicación (al conectar
el sniffer) el usuario, la contraseña ni el contenido del fichero. ................................................ 5
4. Has conseguido que la información se intercambie de forma segura entre cliente y
servidor FTP. Pero para que los usuarios que puedan acceder al servidor y se descarguen un
fichero, puedan acceder a la información del mismo, es necesario que puedan desencriptarlo.
Piensa cómo podrías hacer que solo los usuarios de la empresa (o los que sean de confianza)
puedan acceder al contenido de ficheros encriptados en el servidor FTP. ................................ 8
5. Ayuda a tu jefe (que se llama John Cinebi) a descubrir por qué es vulnerable el sistema
de recuperación de contraseña mostrado. Para ello haz uso de la información que aparece
sobre él en las redes sociales. Utiliza también herramientas de obtención de información
“oculta” (metadatos), como Foca Free o GeoSetter. ................................................................ 9
6. Explícale también cómo eliminar los metadatos de un archivo. ..................................... 10
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 2 DE 12
RA: Asegurar la privacidad de la información transmitida en redes informáticas
describiendo vulnerabilidades e instalando software específico
Tu jefe te llama porque sospecha que un hacker está teniendo acceso a documentos
confidenciales que se mandan a través de la red. Las únicas vías por las que se intercambian
estos documentos es el correo electrónico y el servicio de FTP.
1. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail.
a) Analiza la idoneidad de esta vía para intercambiar información confidencial.
GMail en cuanto seguridad, es un poco más, aunque no se salva de ser hackeado
de la interceptación de los mensajes de sus usuarios.
b) Investiga alternativas a esta solución.
Otras alternativas pueden ser Mailvelope o Secure Gmail. La primera utiliza el
estándar OpenPGP, cifra los mensajes que se envían a través de GMail, Yahoo! o
Hotmail. La segunda nos permite el cifrado de mensajes, pero en el caso de
utilizar Firefox, sería necesaria la utilización de WebPG for Mozilla. Ambas
alternativas son extensiones de Google Chrome, exceptuando la utilización en
Firefox.
2. Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron
tanto el servidor como el cliente de Internet y se instalaron con la configuración básica.
En la empresa tienen equipos ejecutándose tanto en Windows como en Linux.
Comprueba, a través de dos equipos, lo segura que es la transmisión de ficheros con
esta aplicación. Para ello:
a) Descárgate el servidor y el cliente de la página del proyecto Filezilla. Instala cada
uno en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre
una máquina Linux (Ubuntu 12.04). Crea en el servidor un usuario con
contraseña. Comprueba que cliente y servidor funcionan, accediendo desde el
cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero.
b) Descarga la aplicación Wireshark de la página oficial e instálalo en el servidor.
Inicia una captura de tráfico. Conéctate al servidor para realizar la transferencia
de un fichero de texto. Termina la captura y localiza los paquetes donde va el
usuario y la contraseña de acceso al servidor FTP y algunos paquetes del
contenido.
Analiza una primera solución para garantizar la seguridad del intercambio de ficheros,
realizando un cifrado asimétrico previo a la transmisión del fichero. Para ello:
a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado
asimétrico en Linux) necesarios para cifrar el fichero que se va a transmitir vía
FTP (no es necesario realizar todo el caso práctico).
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 3 DE 12
Instalamos la herramienta gpg con el comando que se muestra en la Ilustración 1 ,
además de elegir el tipo de clave que queremos.
Ilustración 1 - gpg --gen-key
El siguiente paso será elegir el tamaño de la clave del algoritmo tal y como se
muestra en la Ilustración 2.
Ilustración 2 - Tamaño de la clave del algoritmo (1024)
A continuación, elegiremos el periodo de validez de la contraseña tal y como se
muestra en la Ilustración 3.
Ilustración 3 - Validez de la clave
En el siguiente paso, nos pedirá nuestros datos para poder identificar la clave. Tal
y como se muestra en la Ilustración 4
Ilustración 4 - Introducción de datos
Nos pedirá la clave para cifrar el contenido del fichero tal y como aparece en la
Ilustración 5.
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 4 DE 12
Ilustración 5 - Introducción de la contraseña
En este paso, nos preguntará sí queremos cambiar el nombre, el comentario, la
dirección o sí queremos salir o seguir con el proceso tal y como muestra la
Ilustración 6.
Ilustración 6 - Cambiar nombre, comentario, dirección, continuar o salir
Una vez concluido el proceso, tendremos nuestra clave creada tal y como se
aprecia en la Ilustración 7.
Ilustración 7 - Clave creada correctamente
Sí hacemos ls –l .gnupg/ tal y como aparece en la Ilustración 8, veremos varios
archivos. Uno de ellos se ha creado por la clave que es el fichero pubring,gpg que
contiene las claves públicas, y el documento secring.gpg contiene las privadas.
Ambos ficheros están cifrados, para mostrar el contenido imprimible de dichos
ficheros utilizaremos el comando de la Ilustración 9.
Ilustración 8 - ls -l .gnupg/
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 5 DE 12
Ilustración 9 - Comando strings para mostrar el contenido imprimible de los
ficheros cifrados
Con el comando gpg –list-keys podremos obtener la lista de claves generadas
(Ilustración 10).
Ilustración 10 - Comando --list-keys
Ahora exportaremos la clave pública a quién quiera mandarnos un mensaje
cifrado. Para ello, sacaremos la clave de su llavero con el comando que se muestra
en la Ilustración 11.
Ilustración 11 - Comando gpg -a --export -o
b) Activa de nuevo la captura de tráfico en el servidor y realiza la transferencia del
fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña de acceso al
servidor FTP? ¿Y los paquetes de contenido?
3. Investiga y describe otras posibles soluciones que permitan un intercambio seguro de
información vía FTP, de modo que no se puedan identificar en la comunicación (al
conectar el sniffer) el usuario, la contraseña ni el contenido del fichero.
Una posible solución que permite el intercambio seguro de información por FTP es la
utilización del protocolo SSL que hará que el protocolo FTP pase a SFTP, para ello,
habrá que configurarlo desde el servidor FileZilla en Edit � Settings (Ilustración 12). En
la parte de SSL/TLS activamos la función (Ilustración 13), creamos el certificado
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 6 DE 12
(Ilustración 14) y lo generamos (Ilustración 15). A partir de este momento, toda la
información será encriptada (Ilustración 16).
Ilustración 12 - Edit --> Settings
Ilustración 13 - Activación del protocolo SSL/TLS y generación del certificado
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 7 DE 12
Ilustración 14 - Datos para generar el certificado
Ilustración 15 - Certificado generado correctamente
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 8 DE 12
Ilustración 16 - Ubicación de las clave privada y del certificado
4. Has conseguido que la información se intercambie de forma segura entre cliente y
servidor FTP. Pero para que los usuarios que puedan acceder al servidor y se
descarguen un fichero, puedan acceder a la información del mismo, es necesario que
puedan desencriptarlo. Piensa cómo podrías hacer que solo los usuarios de la
empresa (o los que sean de confianza) puedan acceder al contenido de ficheros
encriptados en el servidor FTP.
Nuevamente te llama tu jefe. Parece que está nervioso y muy inquieto. Te explica que
alguien está tratando de chantajearle con publicar fotos indiscretas de su cuenta de
Apple. Cree que han accedido a su cuenta contestando a las preguntas de seguridad
que plantea Apple cuando se te ha olvidado la contraseña. Las preguntas son las
siguientes:
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 9 DE 12
5. Ayuda a tu jefe (que se llama John Cinebi) a descubrir por qué es vulnerable el sistema
de recuperación de contraseña mostrado. Para ello haz uso de la información que
aparece sobre él en las redes sociales. Utiliza también herramientas de obtención de
información “oculta” (metadatos), como Foca Free o GeoSetter.
Su sistema de seguridad es muy vulnerable debido a que sus perfiles de las redes
sociales, como Twitter y facebook. Empezaremos por analizar las posibles
vulnerabilidades a través de su perfil de Twitter y acto seguido facebook.
• Twitter: A través de su twitter podemos ver 2 informaciones que resaltan:
Ilustración 17
Ilustración 18
• Facebook:
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 10 DE 12
Ilustración 19
En esta red social, sólo aparece su equipo de fútbol favorito, es otra de las
posibles vulnerabilidades en su sistema de seguridad, dado que una de las
preguntas de seguridad podría ser: ¿Cuál es tu equipo favorito?.
A través de la herramienta GeoSetter, he conseguido averiguar uno de los
metadatos ocultos. Ese metadato oculto es la localización (Berlín).
6. Explícale también cómo eliminar los metadatos de un archivo.
Para eliminar los metadatos de un archivo, sólo tendremos que dar con el archivo del
que queremos eliminarlos, botón derecho� propiedades (Ilustración 20). En la
pestaña de detalles, hacemos clic en quitar las siguientes propiedades e información
profesional (Ilustración 21). Seleccionamos la opción quitar las siguientes propiedades
de este archivo, elegimos las que queremos quitar y hacemos clic en aceptar
(Ilustración 22).
Ilustración 20 - Botón derecho --> Propiedades
LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 11 DE 12
Ilustración 21 - Pestaña detalles --> Quitar propiedades e información personal