Proyecto 2 "Seguridad Informática"
13
PROYECTO 2 - CRIPTOGRAFÍA RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico Tu jefe te llama porque sospecha que un hacker está teniendo acceso a documentos confidenciales que se mandan a través de la red. Las únicas vías por las que se intercambian estos documentos es el correo electrónico y el servicio de FTP. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail. 1. Analiza la idoneidad de esta vía para intercambiar información confidencial. 2. Investiga alternativas a esta solución. Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron tanto el servidor como el cliente de Internet y se instalaron con la configuración básica. En la empresa tienen equipos ejecutándose tanto en Windows como en Linux. Comprueba, a través de dos equipos, lo segura que es la transmisión de ficheros con esta aplicación. Para ello: a) Descárgate el servidor y el cliente de la página del proyecto Filezilla. Instala cada uno en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre una máquina Linux (Ubuntu 12.04). Crea en el servidor un usuario con contraseña. Comprueba que cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero. -Ya esta descargado e instalo Filezilla Server en el servidor y Firezilla cliente en el cliente.
Transcript of Proyecto 2 "Seguridad Informática"
PROYECTO 2 - CRIPTOGRAFÍA RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico
Tu jefe te llama porque sospecha que un hacker está teniendo acceso a documentos confidenciales que se mandan a través de la red. Las únicas vías por las que se intercambian estos documentos es el correo electrónico y el servicio de FTP. Los correos electrónicos se intercambian a través de la plataforma de Google, GMail.
1. Analiza la idoneidad de esta vía para intercambiar información
confidencial.
2. Investiga alternativas a esta solución.
Los ficheros se intercambian por FTP a través de la aplicación FileZilla. Se descargaron tanto el servidor como el cliente de Internet y se instalaron con la configuración básica. En la empresa tienen equipos ejecutándose tanto en Windows como en Linux. Comprueba, a través de dos equipos, lo segura que es la transmisión de ficheros con esta aplicación. Para ello:
a) Descárgate el servidor y el cliente de la página del proyecto Filezilla.
Instala cada uno en un equipo. El servidor irá sobre una máquina Windows y el cliente sobre una máquina Linux (Ubuntu 12.04). Crea en el servidor un usuario con contraseña. Comprueba que cliente y servidor funcionan, accediendo desde el cliente Linux al servidor en la máquina Windows y transfiriendo algún fichero. -Ya esta descargado e instalo Filezilla Server en el servidor y Firezilla cliente en el cliente.
b) Descarga la aplicación Wireshark de la página oficial e instálalo en el servidor. Inicia una captura de tráfico. Conéctate al servidor para realizar la transferencia de un fichero de texto. Termina la captura y localiza los paquetes donde va el usuario y la contraseña y algunos paquetes del contenido.
Ya esta descargado e instalado Wireshark.
Elegimos la opción de Capture Options.
Seleccionamos Capture Flitre, para seleccionar el filtró ( TCP only ) seleccionamos OK y Start para empezar a capturar.
En l Cliente Ubuntu tenemos que iniciar sesión, arrancar el Firezila y conectarnos al servidor.
Ya estamos conectados.
Abrimos un archivo.
Paramos la captura de paquetes.
Observamos que nos pide el usuario.
Le contesta con el nombre del usuario, y le pide la contraseña.
Le responde con la contraseña.
Ya estamos conectados.
Analiza una primera solución para garantizar la seguridad del intercambio de ficheros, realizando un cifrado asimétrico previo a la transmisión del fichero. Para ello:
a) Descarga la herramienta gpg y sigue los pasos del caso práctico 3
(Cifrado asimétrico en Linux) para cifrar el fichero que se va a transmitir vía FTP.
No lo instalamos ya que la herramienta gpg ya viene instalada por defecto. Elegimos la opción 2 que tiene el algoritmos distintos, así veremos claramente cuando se utiliza cada clave.
Elegimos el tamaño de la clave, en nuestro caso elegimos lo mínimo para tardar menos.
Elegimos el tiempo de caducidad de la clave, en nuestro caso la 0 porque no nos hace falta tanta seguridad.
Tenemos que identificarnos, poniendo el nombre, un correo y un comentario, la herramienta gpg nunca nos enviara un correo pero es una forma de contactar con el dueño de la clave.
Ficheros Internos, aquí vemos los dos ficheros que contienen las claves, el Pubring contiene las claves publicas y el Secring las privadas.
Esta es la encriptación del fichero de la clave pública.
Lista de claves.
Exportamos la clave pública. creamos otro usuario llamado Profesor, abrimos el Terminal.
Ponemos estar orden para importar el archivo.
Claves disponibles.
Creamos un mensaje.
Volvemos a entrar al usuario Lucas.
Con esta orden obtenemos la huella de la clave.
Introducimos la contraseña, para descifrar el mensaje cifrado.
Contenido recuperado.
b) Activa de nuevo la captura de tráfico en el servidor y realiza la transferencia del fichero cifrado. ¿Se puede aún descubrir el usuario y la contraseña? ¿Y los paquetes de contenido?
Investiga y describe otras posibles soluciones que permitan un intercambio seguro de información vía FTP, de modo que no se puedan identificar en la comunicación (al conectar el sniffer) el usuario, la contraseña ni el contenido del fichero.
Una de las alternativas es activar el envió de archivos por FTP, es activar la opción SSI en el Firrezilla.
Seleccionamos esta casilla.
Seleccionamos SSL > Marcamos la casilla > Seleccionamos Generate new...
Rellanamos los datos y Generamos el Certificado.
Aceptar.
Ya tenemos nuestro certificado creado y listo.
