10
Ene, 2023

Tarea: Auditoría WiFi

Ámbito de aplicación

Esta práctica es aplicable tanto en el ciclo superior de Administración de sistemas para en el módulo de Seguridad y Alta disponibilidad como en el de ciclo de grado medio de Sistemas Microinformáticos y redes para el módulo de Seguridad informática, pues ambos tienen criterios de evaluación relacionados con la criptografía.

Propósito

Esta tarea tiene como propósito dar a conocer algunas herramientas de auditoría de redes inalámbrícas y conocer ciertas medidas para segurizar una red WiFi

Descripción de la tarea

En esta tarea debes comprobar la seguridad de la red WiFi de tu casa y realizar las modificaciones oportunas para conseguir mejorar su seguridad adecuándola a dicho caso concreto, es decir, una red hogareña. No olvides que el nivel de seguridad que debemos aportar ha de ser adecuado, ni demasiado alto y complejo ni demasiado bajo y sencillo. Antes de comenzar podrías hacer escaneo de dispositivos conectados con al app Fing para comprobar que no hay intrusos. Para comenzar debes comprobar si has cambiado la contraseña por defecto del router WiFi. Dichas contraseñas suelen encontrarse fácilmente en Internet o averiguarse mediante software disponible en la red. En cualquier caso podrías cambiar la contraseña y establecer una contraseña segura (larga y variada). Puedes generar un códgo QR para que los invitados/as puedan conectarse cómodamente sin necesidad de conocer la clave. El siguiente paso será configurar un protocolo de de cifrado seguro. ¿Cuál crees que es el más adecuado?
Recuerda que WEP no es para nada seguro.
Otro consejo que podrías implementa sería cambiar el SSID. Podrías poner alguno disuasorio como Guardia civil o ocultarlo. Esto último complica algo la configuración de la red en los dispositivos clientes (PC’s o móviles). Si no estimas que tus invitados vayan a necesitar conexión WiFi puedes configurar un filtrado MAC para que el router solamente permita conexiones desde ciertas interfaces de red.
Con estas recomendaciones evitaremos la mayoría de problemas pero también podrías apagar el router cuando no esté en casa para evitar ataques y hacer un análisis de la ocupación de canales y mejorar la intensidad de tu WiFi con WiFi analyser
Por último te propongo que realices una auditoría WiFi a tu red para comprobar que efectivamente es segura. Para esto te propongo el uso de la distro WiFi Slax aunque puedes usar alguna otra. En la sección de recursos dispones de información para poder realizar alguna técnica de auditoría pero seguro que encuentras fácilmente información y vídeos sobre el uso de este tipo de herramientas en Internet. Resumiendo …
  1. Fing para revisar intrusos.
  2. Cambio de contraseña y opcionalmente código QR para conectar.
  3. Protocolo de cifrado seguro.
  4. Cambio de SSID y opcionalmente ocultarlo.
  5. Filtrado MAC
  6. Auditoría manual (con WiFiSlax o similar)

Entrega

Debes elaborar una presentación en la que aportes evidencias del trabajo realizado mediante capturas de pantalla de todo el proceso seguido. Escribe el enlace a dicha presentación en el editor de la tarea en Moodle.

Requisitos

  • Las capturas deben mostrar evidencias de la autoría como tu nombre de usuario o cualquier otra característica que te identifique.
Instrumentos de evaluación y calificación
Recursos de interés
2
Nov, 2022
Dibujo de John the ripper

Tarea: Passwords cracking con John de Ripper

Propósito

Tomar conciencia de la importancia del uso de claves seguras y de la definición y configuración de políticas de contraseñas.

Descripción de la tarea

Para comenzar añade varios usuarios a tu sistema con las siguientes passwords:

    • 12345
    • password
    • Igual que el nombre de usuario
    • Una clave segura

Para realizar esta práctica vamos a utilizar un conocido software de password cracking llamado John the ripperEstá disponible en el repositorio de Ubuntu 22.04, la distribución que usaremos en este caso por lo que podemos instalarlo mediante el comando:

sudo apt install john

Para crackear las claves de los usuarios de un sistema Linux puedes de ejecutar el siguiente comando que intentará obtener las claves de los diferentes usuarios del sistema:

sudo john /etc/shadow --format=crypt

Otro comando interesante es shadow. Este permite unificar los datos almacenados en los ficheros /etc/passwd y /etc/shadow donde se guardan las credenciales y los datos de los usuarios del sistema.

sudo unshadow /etc/passwd /etc/shadow > passwords.txt

Ahora tendrías las credenciales guardadas en el fichero passwords.txt

Observa el tiempo que tarda en obtener las diferentes claves y si no consigues obtener alguna en un tiempo razonable, como el tiempo que dura una clase, prueba con diferentes tipos de ataques, como el ataque de diccionario y analizar las opciones del comando para probar diferentes estrategias.

Para finalizar realiza capturas de pantalla de la salida de la salida del comando john, escribe una conclusión según los resultados obtenidos y reflexiona sobre la el grado de necesidad o importancia de crear claves seguras y definir políticas de contraseñas para los usuarios de los sistemas.

Entrega
  • Capturas de pantalla de los comandos ejecutados.
  • Escribe la reflexión sobre la necesidad de usar políticas de contraseñas en según qué tipo de entornos.
Recursos

https://www.redeszone.net/tutoriales/seguridad/crackear-contrasenas-john-the-ripper/

Criterios de evaluación implicados

Ra1.h: Se ha valorado la importancia de establecer una política de contraseñas.

Instrumentos de evaluación y calificación

Esta tarea sera calificada mediante cuestionario de Moodle

13
Dic, 2021
Logotipo de GNUpg

Tarea: Cifrado, firma y certificados digitales

Ámbito de aplicación

Esta práctica es aplicable tanto en el ciclo superior de Administración de sistemas para en el módulo de Seguridad y Alta disponibilidad como en el de ciclo de grado medio de Sistemas Microinformáticos y redes para el módulo de Seguridad informática, pues ambos tienen criterios de evaluación relacionados con la criptografía.

Propósito

Aprender a usar un software de sistema de cifrado de clave asimétrica para firmar digitalmente y asentar los conocimientos teóricos sobre esta firma electrónica y cifrado asimétrico. Y aprender a aplicar de manera práctica dichos conocimientos para la resolución de varias situaciones reales.

Descripción de la tarea

Esta tarea consta de 3 situaciones que has de resolver: Mensajería cifrada, certificado digital para un web server y autenticación en SSH con certificado digital.

Mensajería cifrada

Resuelve estas tareas y realiza capturas de pantalla del proceso. Aquí tienes una guía que te ayudará a resolver esta primera tarea.

  1. Instala gnupg si aun no lo tienes instalado (en Ubuntu 20.04 está instalado de base)
  2. Genera un par de claves (pública y privada). Usa este comando para generar ambas claves: $gpg –full-generate-key
  3. Exporta tu clave pública en un fichero para poder enviársela a tu compi.
  4. En una organización con más personal debe existir un repositorio de claves públicas gestionado por la organización o externo. En este caso debes usar el servidor del MIT (pgp.mit.edu) para publicar tu clave pública.
  5. Importa la clave de otro/a estudiante con quien realices esta práctica.
  6. Cifra un fichero de texto con algún mensaje oculto para tu compi.
  7. Firma un documento con algún mensaje oculto para tu compi.
  8. Cifra y firma un documento de texto con algún mensaje oculto para tu compi.
  9. Descifra el mensaje oculto que te haya pasado tu compi.
  10. Verifica el documento firmado que te haya pasado tu compi.

Certificado digital para un servidor web

La siguiente prueba sería la creación de un certificado digital para un servidor web y poder disponer de https. Sigue las indicaciones de esta guía y realiza capturas de pantalla del proceso como evidencias para demostrar todo el proceso de configuración y finalmente el éxito de la tarea.

Autenticación en SSH por certificado digital

En este caso debes configurar un servidor y un cliente SSH para permitir acceder mediante certificado digital. Sigue esta guía para completar el proceso y realiza capturas para demostrar cada fase y posteriormente el éxito de la tarea.

¡Enhorabuena!

Ya has realizado las operaciones más comunes sobre firma digital y cifrado asimétrico.

Entrega

Elabora una presentación que incluya las capturas de pantalla que has ido haciendo para demostrar que has completado las tareas propuestas. Ponle un título descriptivo a cada diapositiva para permitir al profesor entender qué se está haciendo en cada captura de pantalla.

Requisitos

Las capturas deben mostrar evidencias de la autoría como tu nombre de usuario o cualquier otra característica que te identifique.

Recursos

Evaluación y calificación

Rúbrica de evaluación de certificados, firma digital