23-2-2017

Proyecto 2 2ºSMR

Laura Sánchez León CIUDAD DE LOS MUCHACHOS

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 1 DE 12

Índice RA: ASEGURAR LA PRIVACIDAD DE LA INFORMACIÓN TRANSMITIDA EN REDES INFORMÁTICAS

DESCRIBIENDO VULNERABILIDADES E INSTALANDO SOFTWARE ESPECÍFICO ................................. 2

1. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail. .. 2

a) Analiza la idoneidad de esta vía para intercambiar información confidencial. ............ 2

b) Investiga alternativas a esta solución. .......................................................................... 2

2. Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron

tanto el servidor como el cliente de Internet y se instalaron con la configuración básica. En la

empresa tienen equipos ejecutándose tanto en Windows como en Linux. .............................. 2

a) Descárgate el servidor y el cliente de la página del proyecto Filezilla. Instala cada uno

en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre una máquina

Linux (Ubuntu 12.04). Crea en el servidor un usuario con contraseña. Comprueba que

cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina

Windows y transfiriendo algún fichero. ................................................................................ 2

b) Descarga la aplicación Wireshark de la página oficial e instálalo en el servidor. Inicia

una captura de tráfico. Conéctate al servidor para realizar la transferencia de un fichero

de texto. Termina la captura y localiza los paquetes donde va el usuario y la contraseña de

acceso al servidor FTP y algunos paquetes del contenido. ................................................... 2

a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado asimétrico

en Linux) necesarios para cifrar el fichero que se va a transmitir vía FTP (no es necesario

realizar todo el caso práctico). .............................................................................................. 2

b) Activa de nuevo la captura de tráfico en el servidor y realiza la transferencia del

fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña de acceso al servidor

FTP? ¿Y los paquetes de contenido? ..................................................................................... 5

3. Investiga y describe otras posibles soluciones que permitan un intercambio seguro de

información vía FTP, de modo que no se puedan identificar en la comunicación (al conectar

el sniffer) el usuario, la contraseña ni el contenido del fichero. ................................................ 5

4. Has conseguido que la información se intercambie de forma segura entre cliente y

servidor FTP. Pero para que los usuarios que puedan acceder al servidor y se descarguen un

fichero, puedan acceder a la información del mismo, es necesario que puedan desencriptarlo.

Piensa cómo podrías hacer que solo los usuarios de la empresa (o los que sean de confianza)

puedan acceder al contenido de ficheros encriptados en el servidor FTP. ................................ 8

5. Ayuda a tu jefe (que se llama John Cinebi) a descubrir por qué es vulnerable el sistema

de recuperación de contraseña mostrado. Para ello haz uso de la información que aparece

sobre él en las redes sociales. Utiliza también herramientas de obtención de información

“oculta” (metadatos), como Foca Free o GeoSetter. ................................................................ 9

6. Explícale también cómo eliminar los metadatos de un archivo. ..................................... 10

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 2 DE 12

RA: Asegurar la privacidad de la información transmitida en redes informáticas

describiendo vulnerabilidades e instalando software específico

Tu jefe te llama porque sospecha que un hacker está teniendo acceso a documentos

confidenciales que se mandan a través de la red. Las únicas vías por las que se intercambian

estos documentos es el correo electrónico y el servicio de FTP.

1. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail.

a) Analiza la idoneidad de esta vía para intercambiar información confidencial.

GMail en cuanto seguridad, es un poco más, aunque no se salva de ser hackeado

de la interceptación de los mensajes de sus usuarios.

b) Investiga alternativas a esta solución.

Otras alternativas pueden ser Mailvelope o Secure Gmail. La primera utiliza el

estándar OpenPGP, cifra los mensajes que se envían a través de GMail, Yahoo! o

Hotmail. La segunda nos permite el cifrado de mensajes, pero en el caso de

utilizar Firefox, sería necesaria la utilización de WebPG for Mozilla. Ambas

alternativas son extensiones de Google Chrome, exceptuando la utilización en

Firefox.

2. Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron

tanto el servidor como el cliente de Internet y se instalaron con la configuración básica.

En la empresa tienen equipos ejecutándose tanto en Windows como en Linux.

Comprueba, a través de dos equipos, lo segura que es la transmisión de ficheros con

esta aplicación. Para ello:

a) Descárgate el servidor y el cliente de la página del proyecto Filezilla. Instala cada

uno en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre

una máquina Linux (Ubuntu 12.04). Crea en el servidor un usuario con

contraseña. Comprueba que cliente y servidor funcionan, accediendo desde el

cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero.

b) Descarga la aplicación Wireshark de la página oficial e instálalo en el servidor.

Inicia una captura de tráfico. Conéctate al servidor para realizar la transferencia

de un fichero de texto. Termina la captura y localiza los paquetes donde va el

usuario y la contraseña de acceso al servidor FTP y algunos paquetes del

contenido.

Analiza una primera solución para garantizar la seguridad del intercambio de ficheros,

realizando un cifrado asimétrico previo a la transmisión del fichero. Para ello:

a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3 (Cifrado

asimétrico en Linux) necesarios para cifrar el fichero que se va a transmitir vía

FTP (no es necesario realizar todo el caso práctico).

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 3 DE 12

Instalamos la herramienta gpg con el comando que se muestra en la Ilustración 1 ,

además de elegir el tipo de clave que queremos.

Ilustración 1 - gpg --gen-key

El siguiente paso será elegir el tamaño de la clave del algoritmo tal y como se

muestra en la Ilustración 2.

Ilustración 2 - Tamaño de la clave del algoritmo (1024)

A continuación, elegiremos el periodo de validez de la contraseña tal y como se

muestra en la Ilustración 3.

Ilustración 3 - Validez de la clave

En el siguiente paso, nos pedirá nuestros datos para poder identificar la clave. Tal

y como se muestra en la Ilustración 4

Ilustración 4 - Introducción de datos

Nos pedirá la clave para cifrar el contenido del fichero tal y como aparece en la

Ilustración 5.

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 4 DE 12

Ilustración 5 - Introducción de la contraseña

En este paso, nos preguntará sí queremos cambiar el nombre, el comentario, la

dirección o sí queremos salir o seguir con el proceso tal y como muestra la

Ilustración 6.

Ilustración 6 - Cambiar nombre, comentario, dirección, continuar o salir

Una vez concluido el proceso, tendremos nuestra clave creada tal y como se

aprecia en la Ilustración 7.

Ilustración 7 - Clave creada correctamente

Sí hacemos ls –l .gnupg/ tal y como aparece en la Ilustración 8, veremos varios

archivos. Uno de ellos se ha creado por la clave que es el fichero pubring,gpg que

contiene las claves públicas, y el documento secring.gpg contiene las privadas.

Ambos ficheros están cifrados, para mostrar el contenido imprimible de dichos

ficheros utilizaremos el comando de la Ilustración 9.

Ilustración 8 - ls -l .gnupg/

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 5 DE 12

Ilustración 9 - Comando strings para mostrar el contenido imprimible de los

ficheros cifrados

Con el comando gpg –list-keys podremos obtener la lista de claves generadas

(Ilustración 10).

Ilustración 10 - Comando --list-keys

Ahora exportaremos la clave pública a quién quiera mandarnos un mensaje

cifrado. Para ello, sacaremos la clave de su llavero con el comando que se muestra

en la Ilustración 11.

Ilustración 11 - Comando gpg -a --export -o

b) Activa de nuevo la captura de tráfico en el servidor y realiza la transferencia del

fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña de acceso al

servidor FTP? ¿Y los paquetes de contenido?

3. Investiga y describe otras posibles soluciones que permitan un intercambio seguro de

información vía FTP, de modo que no se puedan identificar en la comunicación (al

conectar el sniffer) el usuario, la contraseña ni el contenido del fichero.

Una posible solución que permite el intercambio seguro de información por FTP es la

utilización del protocolo SSL que hará que el protocolo FTP pase a SFTP, para ello,

habrá que configurarlo desde el servidor FileZilla en Edit � Settings (Ilustración 12). En

la parte de SSL/TLS activamos la función (Ilustración 13), creamos el certificado

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 6 DE 12

(Ilustración 14) y lo generamos (Ilustración 15). A partir de este momento, toda la

información será encriptada (Ilustración 16).

Ilustración 12 - Edit --> Settings

Ilustración 13 - Activación del protocolo SSL/TLS y generación del certificado

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 7 DE 12

Ilustración 14 - Datos para generar el certificado

Ilustración 15 - Certificado generado correctamente

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 8 DE 12

Ilustración 16 - Ubicación de las clave privada y del certificado

4. Has conseguido que la información se intercambie de forma segura entre cliente y

servidor FTP. Pero para que los usuarios que puedan acceder al servidor y se

descarguen un fichero, puedan acceder a la información del mismo, es necesario que

puedan desencriptarlo. Piensa cómo podrías hacer que solo los usuarios de la

empresa (o los que sean de confianza) puedan acceder al contenido de ficheros

encriptados en el servidor FTP.

Nuevamente te llama tu jefe. Parece que está nervioso y muy inquieto. Te explica que

alguien está tratando de chantajearle con publicar fotos indiscretas de su cuenta de

Apple. Cree que han accedido a su cuenta contestando a las preguntas de seguridad

que plantea Apple cuando se te ha olvidado la contraseña. Las preguntas son las

siguientes:

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 9 DE 12

5. Ayuda a tu jefe (que se llama John Cinebi) a descubrir por qué es vulnerable el sistema

de recuperación de contraseña mostrado. Para ello haz uso de la información que

aparece sobre él en las redes sociales. Utiliza también herramientas de obtención de

información “oculta” (metadatos), como Foca Free o GeoSetter.

Su sistema de seguridad es muy vulnerable debido a que sus perfiles de las redes

sociales, como Twitter y facebook. Empezaremos por analizar las posibles

vulnerabilidades a través de su perfil de Twitter y acto seguido facebook.

• Twitter: A través de su twitter podemos ver 2 informaciones que resaltan:

Ilustración 17

Ilustración 18

• Facebook:

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 10 DE 12

Ilustración 19

En esta red social, sólo aparece su equipo de fútbol favorito, es otra de las

posibles vulnerabilidades en su sistema de seguridad, dado que una de las

preguntas de seguridad podría ser: ¿Cuál es tu equipo favorito?.

A través de la herramienta GeoSetter, he conseguido averiguar uno de los

metadatos ocultos. Ese metadato oculto es la localización (Berlín).

6. Explícale también cómo eliminar los metadatos de un archivo.

Para eliminar los metadatos de un archivo, sólo tendremos que dar con el archivo del

que queremos eliminarlos, botón derecho� propiedades (Ilustración 20). En la

pestaña de detalles, hacemos clic en quitar las siguientes propiedades e información

profesional (Ilustración 21). Seleccionamos la opción quitar las siguientes propiedades

de este archivo, elegimos las que queremos quitar y hacemos clic en aceptar

(Ilustración 22).

Ilustración 20 - Botón derecho --> Propiedades

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 11 DE 12

Ilustración 21 - Pestaña detalles --> Quitar propiedades e información personal

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 12 DE 12

Ilustración 22 - Activación de la opción "Quitar las siguientes propiedades de este

archivo"