1 00:00:08,019 --> 00:00:15,699 Grabamos. Vale. Pues buenos días. Hoy día 19 de enero a las 10 y 18 estamos convocados a través de 2 00:00:15,699 --> 00:00:20,640 Jefatura del Departamento para la defensa del módulo profesional del proyecto de ciclo formativo 3 00:00:20,640 --> 00:00:25,379 de grado superior de ASIR. Te informo de que esta defensa está siendo grabada y que dicha grabación 4 00:00:25,379 --> 00:00:30,300 se utilizará en el entorno cerrado de EDUCA Madrid con fines educativos y sólo está a la disposición 5 00:00:30,300 --> 00:00:35,100 de los profesores evaluadores en el aula virtual para llevar a cabo la evaluación y la calificación 6 00:00:35,100 --> 00:00:40,100 de la defensa del proyecto. En el aula virtual de proyectos habéis sido informados de los criterios 7 00:00:40,100 --> 00:00:45,479 y de la rúbrica de calificación y el orden de presentación del proyecto es el siguiente. 15 8 00:00:45,479 --> 00:00:50,560 minutos máximo para la defensa del proyecto, 15 minutos máximo para las preguntas por parte del 9 00:00:50,560 --> 00:00:55,359 tribunal. Dicho esto, tu tiempo de exposición comienza a partir de este momento. Adelante y 10 00:00:55,359 --> 00:00:57,320 suerte. Buenos días, soy Cristina 11 00:00:57,320 --> 00:00:57,859 Domínguez 12 00:00:57,859 --> 00:00:59,840 y 13 00:00:59,840 --> 00:01:03,380 y yo lo que 14 00:01:03,380 --> 00:01:05,500 he intentado hacer es, bueno, he conseguido 15 00:01:05,500 --> 00:01:07,180 instalar un Honeypot con un programa 16 00:01:07,180 --> 00:01:08,000 que se llama T-Pod 17 00:01:08,000 --> 00:01:11,780 Un Honeypot es una herramienta 18 00:01:11,780 --> 00:01:13,519 en la que se conjuntan 19 00:01:13,519 --> 00:01:15,579 unos cuantos servicios 20 00:01:15,579 --> 00:01:17,379 con la finalidad de que sean totalmente 21 00:01:17,379 --> 00:01:19,000 vulnerables y abiertos a la red 22 00:01:19,000 --> 00:01:21,439 para que así, en el 23 00:01:21,439 --> 00:01:23,599 momento en el que te intentan atacar 24 00:01:23,599 --> 00:01:25,120 pues tú simplemente puedas 25 00:01:25,120 --> 00:01:27,359 analizarlo, estudiarlo 26 00:01:27,359 --> 00:01:28,920 y sobre todo 27 00:01:28,920 --> 00:01:30,840 hacer patrones para ciertas empresas 28 00:01:30,840 --> 00:01:32,819 o a nivel personal sería 29 00:01:32,819 --> 00:01:34,920 pues también interesante porque al fin y al cabo 30 00:01:34,920 --> 00:01:36,719 todos nos, estando en internet 31 00:01:36,719 --> 00:01:39,079 pues nos pueden 32 00:01:39,079 --> 00:01:40,959 atacar. La cuestión es 33 00:01:40,959 --> 00:01:43,200 de un honeypot es que al tener todo abierto 34 00:01:43,200 --> 00:01:44,920 siempre se crea como 35 00:01:44,920 --> 00:01:46,780 una especie de trampa ajena 36 00:01:46,780 --> 00:01:48,280 a tu red principal con lo que 37 00:01:48,280 --> 00:01:50,920 supuestamente tu red estaría siempre protegida 38 00:01:50,920 --> 00:01:52,540 tus activos en un caso de una empresa 39 00:01:52,540 --> 00:01:54,560 estaría activo y 40 00:01:54,560 --> 00:02:14,680 Y nosotros a nivel de ciberseguridad podríamos estudiar todo tipo de ataques y de forma preventiva poner las defensas que sean necesarias o analizar tipos de ataques para ayudar al resto de equipos a que no cometan ciertos fallos o brechas de seguridad. 41 00:02:14,680 --> 00:02:27,800 Y en caso, por ejemplo, de casa, pues nos vendría bien para eso, para tener un sistema aislado, si tuviéramos unos recursos a los que protegerse demasiado, pues eso, para que no nos puedan hacer nada. 42 00:02:27,800 --> 00:02:55,580 Las ventajas en un entorno, pues como te decía, más bien enfocado a una empresa es eso, se monitoriza todo tipo de ataques, cualquiera que llegue al Honeypot, se instalan, al instalar los varios tipos, porque puedes tenerlos como de SSH, de web, de cualquier tipo de aplicación, al monitorizarlos todos, haces, pues eso, ayudas, puedes monitorizar, puedes trabajar sobre esos ataques, 43 00:02:55,580 --> 00:03:00,159 puedes anticiparte a muchísimos de los ataques de fase muy temprana 44 00:03:00,159 --> 00:03:03,400 porque al final están atacando a la trampa que es el honeypot 45 00:03:03,400 --> 00:03:06,280 y tú puedes ya ayudar a la parte verdadera. 46 00:03:07,939 --> 00:03:10,680 Por defecto, si todo estuviera bien instalado 47 00:03:10,680 --> 00:03:14,360 el honeypot no puede recibir nada que no sea maligno 48 00:03:14,360 --> 00:03:19,240 porque nadie de la empresa en este caso podría acceder al honeypot 49 00:03:19,240 --> 00:03:22,900 y generar trafico legítimo, con lo cual cualquier cosa que llegue allí 50 00:03:22,900 --> 00:03:26,120 se consideraría maligno 51 00:03:26,120 --> 00:03:29,479 bueno, normalmente 52 00:03:29,479 --> 00:03:31,879 es un 53 00:03:31,879 --> 00:03:33,719 hardware muy muy muy poco exigente 54 00:03:33,719 --> 00:03:35,599 porque exige solo el poquito 55 00:03:35,599 --> 00:03:37,340 de tráfico maligno que tienes 56 00:03:37,340 --> 00:03:39,199 si tuvieras muchísimo 57 00:03:39,199 --> 00:03:41,659 pues sería cuando es un ataque 58 00:03:41,659 --> 00:03:43,780 muy claro, como de fuerza bruta o algún tipo 59 00:03:43,780 --> 00:03:45,960 de ataque así, si tienes un 60 00:03:45,960 --> 00:03:47,680 por ejemplo, hay dos tipos 61 00:03:47,680 --> 00:03:49,900 de honeypot 62 00:03:49,900 --> 00:03:51,639 que serían los de activos y los 63 00:03:51,639 --> 00:03:53,620 más pasivos, los activos 64 00:03:53,620 --> 00:03:55,780 son los que sí necesitan 65 00:03:55,780 --> 00:03:58,060 muchísimos más recursos a nivel de software 66 00:03:58,060 --> 00:04:00,080 porque necesitan 67 00:04:00,080 --> 00:04:01,219 una infraestructura muy 68 00:04:01,219 --> 00:04:03,840 grande a nivel de software 69 00:04:03,840 --> 00:04:05,139 porque es totalmente 70 00:04:05,139 --> 00:04:06,860 en tiempo real 71 00:04:06,860 --> 00:04:09,960 y entonces necesitan más, en cambio uno pasivo 72 00:04:09,960 --> 00:04:11,219 no requiere 73 00:04:11,219 --> 00:04:13,840 tantos recursos con lo cual por ejemplo 74 00:04:13,840 --> 00:04:15,699 a nivel de casa podríamos usar 75 00:04:15,699 --> 00:04:17,060 uno pasivo, no un activo 76 00:04:17,060 --> 00:04:19,740 luego también como todo tiene sus 77 00:04:19,740 --> 00:04:21,000 riesgos, si tú 78 00:04:21,000 --> 00:04:23,459 el atacante es lo suficientemente 79 00:04:23,459 --> 00:04:25,459 inteligente como para detectar que eso es un 80 00:04:25,459 --> 00:04:27,639 honeypot, puede engañarte 81 00:04:27,639 --> 00:04:29,000 y mandarte todo tipo de 82 00:04:29,000 --> 00:04:31,579 cosas falsas para que tú hagas un estudio 83 00:04:31,579 --> 00:04:33,399 pensando que te van a atacar 84 00:04:33,399 --> 00:04:35,540 por SSH y luego realmente te están 85 00:04:35,540 --> 00:04:36,920 atacando por web 86 00:04:36,920 --> 00:04:39,420 y aparte de eso, si se 87 00:04:39,420 --> 00:04:41,560 configurara cualquier parte del honeypot mal 88 00:04:41,560 --> 00:04:43,259 dejarías una brecha de seguridad 89 00:04:43,259 --> 00:04:45,319 enorme, con lo cual podrían 90 00:04:45,319 --> 00:04:47,279 acceder por ahí a tu máquina real y 91 00:04:47,279 --> 00:04:49,160 atacar todo, coger todos los datos 92 00:04:49,160 --> 00:04:50,720 con lo cual 93 00:04:50,720 --> 00:04:52,939 a la hora de instalar un honeypot 94 00:04:52,939 --> 00:04:55,819 hay que tener mucho cuidado en estas pequeñas cositas 95 00:04:55,819 --> 00:04:57,279 luego 96 00:04:57,279 --> 00:04:59,240 los objetivos principales que yo 97 00:04:59,240 --> 00:05:00,720 me puse 98 00:05:00,720 --> 00:05:03,120 fue instalarlo en una máquina virtual 99 00:05:03,120 --> 00:05:05,300 y atacar esa máquina 100 00:05:05,300 --> 00:05:07,060 con el fin de analizar ese ataque 101 00:05:07,060 --> 00:05:09,120 para ver los logs 102 00:05:09,120 --> 00:05:09,879 y demás 103 00:05:09,879 --> 00:05:13,000 los objetivos que pude cumplir 104 00:05:13,000 --> 00:05:14,839 específicos fue 105 00:05:14,839 --> 00:05:15,199 instalar 106 00:05:15,199 --> 00:05:19,079 configurar 107 00:05:19,079 --> 00:05:21,139 y desplegar el T-Pod en un entorno visual 108 00:05:21,139 --> 00:05:23,079 en este caso fue usando un Ubuntu 109 00:05:23,079 --> 00:05:23,519 server 110 00:05:23,519 --> 00:05:26,439 de los más pequeñitos que hay 111 00:05:26,439 --> 00:05:28,399 porque una de las cosas que tiene 112 00:05:28,399 --> 00:05:30,180 que te indica T-Pod 113 00:05:30,180 --> 00:05:33,220 es que utilices 114 00:05:33,220 --> 00:05:34,600 pues distros Linux 115 00:05:34,600 --> 00:05:36,560 ya preparados para ellos 116 00:05:36,560 --> 00:05:38,339 tiene unos poquitos 117 00:05:38,339 --> 00:05:41,120 y normalmente tú te vas a la página principal 118 00:05:41,120 --> 00:05:43,019 de T-Pod y te indica 119 00:05:43,019 --> 00:05:44,879 cuáles, yo elegí el Ubuntu 120 00:05:44,879 --> 00:05:47,399 server porque me parece que 121 00:05:47,399 --> 00:05:52,420 que usa pocos recursos y además al no tener gráfica ni nada, 122 00:05:52,579 --> 00:05:57,939 pues es más sencillo a la hora todo de los recursos sobre todo. 123 00:05:59,180 --> 00:06:03,319 Luego, a la vez que instalas T-Pod, necesitas Docker y Docker Compose 124 00:06:03,319 --> 00:06:08,620 porque T-Pod está metido en los paneles de Docker 125 00:06:08,620 --> 00:06:13,199 y entonces necesitas Docker para que pueda leer esos contenedores 126 00:06:13,199 --> 00:06:16,899 y Compose porque al final T-Pod tiene muchísimos Honeypods distintos, 127 00:06:16,899 --> 00:06:18,720 con lo cual los necesitas todos a la vez. 128 00:06:20,060 --> 00:06:25,019 Luego tuve que instalar Linux Mint, elegí Mint porque lo más parecido a Windows 129 00:06:25,019 --> 00:06:28,899 como nosotros lo conocemos, para que fuera la máquina cliente. 130 00:06:29,720 --> 00:06:37,379 Desde allí poder configurar ciertos patrones y intentar ver el Honeypot a través de un cliente. 131 00:06:38,420 --> 00:06:43,959 Y luego diseñé una prueba, en este caso de fuerza bruta, a través de Kali Linux 132 00:06:43,959 --> 00:06:54,279 que es una aplicación que tiene todo tipo de herramientas de ciberseguridad, y la herramienta Metasploit, que es para hacer ataques SH a través de fuerza bruta. 133 00:06:55,540 --> 00:07:10,180 Luego, analicé y documenté los load generados. Me hubiera gustado a través de la aplicación web que tiene T-Pod, pero la última versión daba fallos y no fui capaz de que me saliera T-Pod web, 134 00:07:10,180 --> 00:07:16,959 pero al tener lo bueno de T-Pod es que igual puedes hacerlo por gráfica que puedes hacerlo por comandos. 135 00:07:17,360 --> 00:07:21,480 Con lo cual lo hice por comandos y salieron los logs que se generaron al ataque de la fuerza bruta. 136 00:07:22,759 --> 00:07:34,579 Un objetivo que al no tener la página hacerlo web, el objetivo que quería que era más analizar de forma visual y generar unas ayudas, no la pude hacer. 137 00:07:34,579 --> 00:07:41,319 y los despliegues 138 00:07:41,319 --> 00:07:43,139 tuve problemas 139 00:07:43,139 --> 00:07:44,240 a la hora de 140 00:07:44,240 --> 00:07:46,540 con el servidor 141 00:07:46,540 --> 00:07:49,079 porque al intentar descargar 142 00:07:49,079 --> 00:07:50,819 varias veces Docker o Docker Compose 143 00:07:50,819 --> 00:07:53,160 se perdían algunos 144 00:07:53,160 --> 00:07:54,779 archivos, estuve 145 00:07:54,779 --> 00:07:56,980 indagando y por lo visto son fallos 146 00:07:56,980 --> 00:07:58,680 que dan las nuevas versiones porque claro 147 00:07:58,680 --> 00:08:00,519 esta está recién, o sea hace poquito 148 00:08:00,519 --> 00:08:03,339 y cuando ya lo conseguí 149 00:08:03,339 --> 00:08:04,980 todo, no quise 150 00:08:04,980 --> 00:08:06,879 hacer más pruebas de ningún tipo porque 151 00:08:06,879 --> 00:08:10,939 las otras me daban fallo en no tener la parte gráfica 152 00:08:10,939 --> 00:08:13,939 y no tener, entonces la prueba la centré 153 00:08:13,939 --> 00:08:16,319 en la parte de eso 154 00:08:16,319 --> 00:08:19,300 desde el SSH y de eso 155 00:08:19,300 --> 00:08:22,540 y mis conclusiones finales a través del proyecto 156 00:08:22,540 --> 00:08:24,959 es que a nivel casero 157 00:08:24,959 --> 00:08:27,300 es una herramienta que podríamos usar todos 158 00:08:27,300 --> 00:08:31,019 quizás la parte gráfica sería más para el público en general 159 00:08:31,019 --> 00:08:33,360 y la parte más de comandos y demás 160 00:08:33,360 --> 00:08:52,740 para los informáticos o gente así más puesta en ello y a nivel de empresa me parece una herramienta que es gratuita, totalmente versátil, fácil de instalar, fácil de al final de generar en una red, no necesita extremadamente recursos a nivel de hardware, 161 00:08:52,740 --> 00:09:17,539 Sí, por ejemplo, de software en el sentido que necesitarías también una máquina medianamente potente para estar constantemente leyendo y capacidad de disco duro, porque mínimo necesitas 120, 130 gigas para que, y eso ir revisándolo y borrándolo, porque al final es tráfico diario y se generarían muchos logs. 162 00:09:18,539 --> 00:09:22,379 Y esto es más o menos lo que he hecho durante todo el proyecto. 163 00:09:22,740 --> 00:09:34,779 Te iba a decir, ¿puedes ejecutar o puedes mostrar un ejemplo de las máquinas arrancadas y lo tienes preparado para ver? 164 00:09:34,779 --> 00:09:41,960 los puedo arrancar si quieres vale por lo menos para ver un poco cómo funcionaría o verlo un 165 00:09:41,960 --> 00:09:49,200 ataque real si nos da tiempo a ver cuánto tiempo tenemos si podría darnos tiempo que generas con 166 00:09:49,200 --> 00:09:57,019 el meta exploit un ataque y ver que el tipo de trazas da o qué tipo de logs está dando 167 00:09:57,019 --> 00:10:17,039 vamos y se puede que esto es un poco pilla traición pero pero si se puede ver pues la 168 00:10:17,039 --> 00:10:18,159 cuestión es que arranque bien. 169 00:10:18,899 --> 00:10:21,179 Claro, es que además como estamos grabando, no sé si... 170 00:10:21,179 --> 00:10:22,700 Claro, por eso. Es que esto al final 171 00:10:22,700 --> 00:10:24,080 usa bastantes recursos. 172 00:10:27,139 --> 00:10:28,320 Cali está arrancando. 173 00:10:29,899 --> 00:10:31,200 Me preocupa más el 174 00:10:31,200 --> 00:10:32,860 servidor. 175 00:10:50,480 --> 00:10:52,019 No, me equivoco. 176 00:10:54,129 --> 00:10:55,230 Bueno, tú tranquila que hay tiempo. 177 00:10:59,720 --> 00:11:00,799 ¿Por qué no me dejas? 178 00:11:24,580 --> 00:11:26,720 Aquí está el archivo que hice para la Fuerza Bruta. 179 00:11:29,159 --> 00:11:30,519 Ese es el 180 00:11:30,519 --> 00:11:32,740 archivo de palabra. 181 00:11:33,340 --> 00:11:35,159 El diccionario, ¿no? El diccionario de... 182 00:11:35,159 --> 00:11:37,179 Vale. Quizás sí un poco y esta 183 00:11:37,179 --> 00:11:38,840 era la... Vale. 184 00:11:39,460 --> 00:11:40,899 Esa era la contraseña, se supone, ¿no? 185 00:11:41,019 --> 00:11:42,240 Sí. Vale. 186 00:11:52,840 --> 00:12:06,159 A ver si está Docker. Va muy lento. 187 00:12:06,940 --> 00:12:08,120 Sí. Bueno, no te preocupes. 188 00:12:20,240 --> 00:12:21,659 Estoy mirando a ver si se ha cargado 189 00:12:21,659 --> 00:12:23,179 lo que necesitamos. 190 00:12:23,679 --> 00:12:46,039 Vale. Vale. 191 00:12:46,679 --> 00:12:47,940 No sé si lo veis. 192 00:12:48,440 --> 00:12:50,299 Sí, estoy viendo aquí, sí. El query 193 00:12:50,299 --> 00:12:52,700 sería en principio 194 00:12:52,700 --> 00:12:54,299 lo que necesitaríamos para... 195 00:12:54,820 --> 00:12:55,179 Vale. 196 00:12:55,179 --> 00:12:57,279 vale, en principio 197 00:12:57,279 --> 00:13:02,009 a ver si se ha cargado 198 00:13:02,009 --> 00:13:16,389 vale, si veis 199 00:13:16,389 --> 00:13:17,750 la IP 200 00:13:17,750 --> 00:13:19,590 de salida sería esta 201 00:13:19,590 --> 00:13:22,950 la 192.168.1.186 202 00:13:22,950 --> 00:13:23,730 vale 203 00:13:23,730 --> 00:13:29,100 y antes de esto voy a intentar 204 00:13:29,100 --> 00:13:30,159 un momentito 205 00:13:30,159 --> 00:13:33,120 a ver si entra en la web 206 00:13:33,120 --> 00:13:40,120 para podértelo enseñar 207 00:13:40,120 --> 00:13:55,330 aunque desde aquí no sé si me va a dejar 208 00:13:55,330 --> 00:13:56,690 está configurado el teclado 209 00:13:56,690 --> 00:13:58,529 está configurado mal el teclado 210 00:13:58,529 --> 00:14:05,039 así que pues espera voy a arrancar voy a arrancar la cliente para ver si te funciona vale que lo 211 00:14:05,039 --> 00:14:11,840 veas vale de todas formas a lo mejor con el teclado virtual de virtual de estas usando 212 00:14:11,840 --> 00:14:19,039 virtual voz o vmware a virtual box y que no vea el icono ahí te aparece un teclado digital arriba 213 00:14:19,039 --> 00:14:25,399 que también puedes teclear hay una forma cuando se carga el teclado que no es se puede utilizar 214 00:14:25,399 --> 00:14:35,120 un teclado digital virtual vale pero bueno para conectarte vía web si voy a intentarlo para ver 215 00:14:35,120 --> 00:15:15,019 si lo podemos ver vale vale mientras se está arrancando te va a preguntar qué tipo de servicios 216 00:15:15,019 --> 00:15:21,799 tiene o sea qué tipo de aplicaciones o utilidades tiene el tipo el que has utilizado porque tiene 217 00:15:21,799 --> 00:15:23,779 tiene muchas, pero... Sí, pues 218 00:15:23,779 --> 00:15:25,860 tiene SSH, web, por ejemplo 219 00:15:25,860 --> 00:15:26,639 Kibana, que es 220 00:15:26,639 --> 00:15:29,899 que tiene de todos los tipos de 221 00:15:29,899 --> 00:15:31,879 servicios. Es el más completo, tú dirías que es 222 00:15:31,879 --> 00:15:33,899 el más completo... De los gratuitos, 223 00:15:33,980 --> 00:15:35,799 sí. Sí, ¿no? Sí, sí, 224 00:15:35,919 --> 00:15:37,820 totalmente, de los gratuitos es el más 225 00:15:37,820 --> 00:15:39,659 completo, porque además tienes 226 00:15:39,659 --> 00:15:41,899 incluso tienes varias versiones 227 00:15:41,899 --> 00:15:43,679 como puede ser la Little, que solo 228 00:15:43,679 --> 00:15:45,700 tiene unas pequeñas aplicaciones que no 229 00:15:45,700 --> 00:15:46,960 necesitas todos los recursos 230 00:15:46,960 --> 00:15:49,759 para que a lo mejor solo controles, pues yo 231 00:15:49,759 --> 00:15:51,480 que sé, SSH o web, que sea lo más 232 00:15:51,480 --> 00:15:52,759 problemático para ti, por ejemplo. 233 00:15:53,440 --> 00:15:55,440 Yo creo que sí, de lo gratuito. 234 00:15:55,539 --> 00:15:57,279 Además, está hecho por la comunidad 235 00:15:57,279 --> 00:15:59,279 de Linux, con lo cual siempre 236 00:15:59,279 --> 00:16:01,620 está actualizado. 237 00:16:01,759 --> 00:16:03,460 Te dan 5 años de igual 238 00:16:03,460 --> 00:16:05,399 de... ¿Para qué te 239 00:16:05,399 --> 00:16:06,019 valga una versión? 240 00:16:07,980 --> 00:16:08,419 Perfecto. 241 00:16:14,840 --> 00:16:17,259 A ver si quieres... Voy a coger el... 242 00:16:17,259 --> 00:16:30,110 Le estamos exigiendo mucho 243 00:16:30,110 --> 00:16:31,850 a mi pobre ordenador. 244 00:16:31,850 --> 00:16:32,909 Sí, sí, sí. 245 00:16:58,179 --> 00:17:00,059 Se supone que aquí debería ser lo web. 246 00:17:01,379 --> 00:17:02,340 Vale, llegas. 247 00:17:02,340 --> 00:17:05,640 este es el puerto especial que necesitas 248 00:17:05,640 --> 00:17:06,859 a través de Honeypod 249 00:17:06,859 --> 00:17:09,480 porque Honeypod lo que hace es coger los puertos 250 00:17:09,480 --> 00:17:11,640 estándar como por ejemplo el SSH es el 22 251 00:17:11,640 --> 00:17:13,599 y lo cambia 252 00:17:13,599 --> 00:17:15,559 en el caso nuestro de nuestra máquina 253 00:17:15,559 --> 00:17:17,740 sería el 64295 254 00:17:17,740 --> 00:17:18,779 es el de SSH 255 00:17:18,779 --> 00:17:21,680 pero para acceder vía web te necesitas 256 00:17:21,680 --> 00:17:22,819 el 97 257 00:17:22,819 --> 00:17:25,619 pero llega pero no 258 00:17:25,619 --> 00:17:26,759 arranca 259 00:17:26,759 --> 00:17:31,180 vamos a intentar 260 00:17:31,180 --> 00:18:30,079 el otro 261 00:18:30,079 --> 00:18:38,039 te va a preguntar mientras arranca él el tipo vamos a el ubuntu en la red como lo tienes 262 00:18:38,039 --> 00:18:44,579 configurado en modo bridge en modo perdón modo bridge porque una de las cosas que necesita tipo 263 00:18:44,579 --> 00:18:49,339 tipo para poder conectar a través del servidor es que sí o sí tiene que estar en modo fuente 264 00:18:49,339 --> 00:18:56,339 vale porque si quieres te puedo ser las configuraciones de las máquinas vale vale 265 00:18:56,339 --> 00:18:57,640 si se ve 266 00:18:57,640 --> 00:18:59,880 bueno, aquí no se ve 267 00:18:59,880 --> 00:19:02,859 bueno, realmente 268 00:19:02,859 --> 00:19:03,440 estaría 269 00:19:03,440 --> 00:19:04,779 está aquí 270 00:19:04,779 --> 00:19:10,210 ha adaptado el puente 271 00:19:10,210 --> 00:19:11,730 vale, ok 272 00:19:11,730 --> 00:19:17,440 la máquina cliente también está todo 273 00:19:17,440 --> 00:19:19,099 y Calirinus también está en puente 274 00:19:19,099 --> 00:19:20,279 ok 275 00:19:20,279 --> 00:19:22,920 solo has probado 276 00:19:22,920 --> 00:19:24,819 has dicho de fuerza bruta, ¿no? 277 00:19:24,940 --> 00:19:26,259 o sea, ataques de fuerza bruta 278 00:19:26,259 --> 00:19:27,059 vale, ok 279 00:19:27,059 --> 00:19:30,359 otra vez 280 00:19:30,359 --> 00:19:31,660 no arranca 281 00:19:31,660 --> 00:19:34,319 si está ahí pensando, bueno no te preocupes 282 00:19:34,319 --> 00:19:36,119 si era así se podía, si es que tampoco te había 283 00:19:36,119 --> 00:19:38,720 avisado de que 284 00:19:38,720 --> 00:19:39,980 lo hiciéramos, pero bueno 285 00:19:39,980 --> 00:19:42,299 si se podía ver una demostración, pues perfecto 286 00:19:42,299 --> 00:19:44,099 si no, pues bueno, de todas maneras está ahí 287 00:19:44,099 --> 00:19:46,119 en el documento está 288 00:19:46,119 --> 00:19:48,380 reflejado, te iba a preguntar otra cosilla 289 00:19:48,380 --> 00:19:51,940 has analizado tú los logs 290 00:19:51,940 --> 00:19:53,779 has podido ver los logs, has analizado 291 00:19:53,779 --> 00:19:54,859 has sacado un grupo de conclusión 292 00:19:54,859 --> 00:19:57,240 con los comandos, bueno 293 00:19:57,240 --> 00:19:59,140 al solo poder hacer 294 00:19:59,140 --> 00:20:00,759 un ataque de fuerza bruta 295 00:20:00,759 --> 00:20:02,940 los logs al final que se generaron 296 00:20:02,940 --> 00:20:04,119 solo fueron esos 297 00:20:04,119 --> 00:20:07,380 un tipo de información que te saca 298 00:20:07,380 --> 00:20:09,200 es fácil 299 00:20:09,200 --> 00:20:09,859 de analizar 300 00:20:09,859 --> 00:20:12,700 tu opinión como dirías 301 00:20:12,700 --> 00:20:15,339 cuando es por comandos no me parece 302 00:20:15,339 --> 00:20:17,079 tan fácil de analizar si no sabes lo que 303 00:20:17,079 --> 00:20:19,059 estás buscando, por eso la idea 304 00:20:19,059 --> 00:20:21,200 era hacerlo vía web porque te lo pone 305 00:20:21,200 --> 00:20:22,759 como más fácil de 306 00:20:22,759 --> 00:20:24,839 ver y encontrar lo que estás buscando 307 00:20:24,839 --> 00:20:26,859 es verdad que a través de los logs 308 00:20:26,859 --> 00:20:29,579 de comandos para alguien que no sepa 309 00:20:29,579 --> 00:20:31,759 nada, no, no me parece una cosa sencilla 310 00:20:31,759 --> 00:20:33,700 Has mirado 311 00:20:33,700 --> 00:20:34,299 si se podía 312 00:20:34,299 --> 00:20:37,440 utilizar el 313 00:20:37,440 --> 00:20:39,640 o sea, entiendo que son 314 00:20:39,640 --> 00:20:41,480 todos los, el Honeypot todo lo que tiene 315 00:20:41,480 --> 00:20:43,680 son servicios, has comentado, de web 316 00:20:43,680 --> 00:20:45,559 de SSH, FTP 317 00:20:45,559 --> 00:20:46,779 también entiendo que tiene 318 00:20:46,779 --> 00:20:48,980 vale, todas estas posibilidades lo has puesto 319 00:20:48,980 --> 00:20:51,660 si tú lo 320 00:20:51,660 --> 00:20:52,440 instalaras esto 321 00:20:52,440 --> 00:20:55,460 en una empresa real, vale, imagínate 322 00:20:55,460 --> 00:21:02,880 que quieres montarlo en una empresa real, ¿qué mejoras o qué medidas tendrías en cuenta 323 00:21:02,880 --> 00:21:08,180 a la hora de ponerlo? Aparte de las que has comentado, ¿piensas ahí si habría que hacer 324 00:21:08,180 --> 00:21:12,079 alguna medida adicional, habría que poner alguna cosa adicional? ¿Cómo sería? 325 00:21:12,099 --> 00:21:16,359 Lo primero sería comprobar que de verdad está aislado el honeypot de la red real. 326 00:21:16,859 --> 00:21:20,799 Eso sería lo principal que habría que comprobar para no dejar ningún agujero. 327 00:21:20,799 --> 00:21:44,700 Y luego, posiblemente, pues habría que informar a los trabajadores de este tipo de servicio que hay en la empresa para que ellos mismos no generen logs hacia las máquinas, que en este caso es el Honeypot. Porque, claro, si utilizan el puerto 22, por ponerte el claro ejemplo, estarían generando logs que son verdaderos cuando no deberían serlo. 328 00:21:45,180 --> 00:21:45,799 Vale, perfecto. 329 00:21:46,579 --> 00:21:48,700 Yo creo que sería lo más importante, vamos. 330 00:21:48,700 --> 00:21:50,460 ¿Has analizado 331 00:21:50,460 --> 00:21:54,799 Otros tipos de 332 00:21:54,799 --> 00:21:56,380 De 333 00:21:56,380 --> 00:21:58,599 O sea, que no lo hayas utilizado 334 00:21:58,599 --> 00:22:00,440 Por ejemplo, yo sé que puedes hacer 335 00:22:00,440 --> 00:22:03,079 Un ataque de escaneo de puertos 336 00:22:03,079 --> 00:22:04,640 Ah, sí, bueno, el NMA 337 00:22:04,640 --> 00:22:06,599 El NMA sí lo hice 338 00:22:06,599 --> 00:22:08,720 Con el Calilinus 339 00:22:08,720 --> 00:22:11,279 Para, aunque saliera el puerto 340 00:22:11,279 --> 00:22:12,920 Para así que no salieran 341 00:22:12,920 --> 00:22:14,319 Todos los puertos y ver 342 00:22:14,319 --> 00:22:16,960 La parte de todos los servicios 343 00:22:16,960 --> 00:22:19,400 sensibles o abiertos que tenía 344 00:22:19,400 --> 00:22:21,180 en este momento el Honeypot 345 00:22:21,180 --> 00:22:23,640 creo que lo tengo por aquí 346 00:22:23,640 --> 00:22:24,279 en el proyecto 347 00:22:24,279 --> 00:22:26,279 en alguna parte 348 00:22:26,279 --> 00:22:28,700 más arriba creo que estaba 349 00:22:28,700 --> 00:22:31,740 y no sé si lo vais 350 00:22:31,740 --> 00:22:33,799 a poder ver, es que no sé si lo llegué 351 00:22:33,799 --> 00:22:34,200 a poner 352 00:22:34,200 --> 00:22:37,000 Yo he visto si las capturas de Cali 353 00:22:37,000 --> 00:22:39,420 vale, ah sí, sí, sí 354 00:22:39,420 --> 00:22:41,619 se ven las IPs 355 00:22:41,619 --> 00:22:43,759 y los puertos, 21, 22 356 00:22:43,759 --> 00:22:46,920 Sí, para que eso 357 00:22:46,920 --> 00:22:48,799 para que vienes la cantidad de puertos que 358 00:22:48,799 --> 00:22:51,099 al final se quedan abiertos. Normalmente 359 00:22:51,099 --> 00:22:52,960 los estándar y los generales, pero 360 00:22:52,960 --> 00:22:54,880 es verdad que inventa más puertos 361 00:22:54,880 --> 00:22:57,059 para que si hay algún creativo, pues 362 00:22:57,059 --> 00:22:58,339 se paga. 363 00:22:59,019 --> 00:23:00,819 ¿Eso deja algún tipo de trazas en el 364 00:23:00,819 --> 00:23:02,940 Honeypot? ¿El que la un servicios 365 00:23:02,940 --> 00:23:05,240 abiertos? Sí, o sea, cuando 366 00:23:05,240 --> 00:23:06,500 yo te hago un escaneo de puertos, 367 00:23:06,859 --> 00:23:08,960 ¿registra de alguna forma que te 368 00:23:08,960 --> 00:23:11,259 estoy escaneando? Yo no 369 00:23:11,259 --> 00:23:13,200 lo vi. Vale, vale, vale. 370 00:23:13,200 --> 00:23:15,079 Es que al final solo 371 00:23:15,079 --> 00:23:16,740 estás mirando, no estás generando. 372 00:23:16,920 --> 00:23:18,640 un ataque hacia la máquina 373 00:23:18,640 --> 00:23:21,039 en principio. Claro, por eso 374 00:23:21,039 --> 00:23:22,920 pero si hay alguna forma de, porque 375 00:23:22,920 --> 00:23:25,119 no sé si sabes que hay varios tipos de software 376 00:23:25,119 --> 00:23:26,539 uno que es de detección 377 00:23:26,539 --> 00:23:28,819 entonces, no sé si 378 00:23:28,819 --> 00:23:30,299 Honeypot, este Honeypot 379 00:23:30,299 --> 00:23:33,240 Yo como lo tengo instalado, no me centré 380 00:23:33,240 --> 00:23:34,839 en la detención, sino más bien 381 00:23:34,839 --> 00:23:36,539 luego en la generación de logs 382 00:23:36,539 --> 00:23:39,079 supongo que si pones detención 383 00:23:39,079 --> 00:23:40,940 hacer un Nmap y demás 384 00:23:40,940 --> 00:23:42,319 sí saldría 385 00:23:42,319 --> 00:23:44,859 Vale, vale, no sé por prueba 386 00:23:44,859 --> 00:23:46,819 porque yo no lo uso nunca, o sea, yo el T-Pod 387 00:23:46,819 --> 00:23:49,380 no lo había utilizado 388 00:23:49,380 --> 00:23:50,960 así que bueno, me parece interesante verlo 389 00:23:50,960 --> 00:23:53,039 y ver un poco que son curiosidades ya también 390 00:23:53,039 --> 00:23:54,299 a nivel un poco personal, vale 391 00:23:54,299 --> 00:23:56,539 poco más, yo aquí 392 00:23:56,539 --> 00:23:58,900 vamos, todas las preguntas que la 393 00:23:58,900 --> 00:24:00,960 dudilla que tenía, pues están 394 00:24:00,960 --> 00:24:03,099 resueltas, o sea que yo creo que 395 00:24:03,099 --> 00:24:04,680 poco más, lo único 396 00:24:04,680 --> 00:24:06,779 sí que no se te olvide subir la presentación 397 00:24:06,779 --> 00:24:08,859 ahora mismo, fue un fallo 398 00:24:08,859 --> 00:24:10,660 y bien, bueno, enhorabuena, yo creo que vamos 399 00:24:10,660 --> 00:24:12,059 está bastante bien, yo 400 00:24:12,059 --> 00:24:14,960 me ha gustado, a Rosoto ve las dudas 401 00:24:14,960 --> 00:24:29,099 Así que dejamos este vídeo subido al aula para que revise el resto de profesores, ¿vale? Y bueno, pues ya a partir del 29, como te comentaba antes, haremos la sesión de evaluación, pues bueno, a partir de ese día yo creo que ya aparecerán las notas, ¿vale? 402 00:24:29,259 --> 00:24:31,700 Lo pondrá en el aula, supongo, ¿verdad? 403 00:24:32,160 --> 00:24:39,400 Sí, bueno, si no sale en el aula, saldrá en raíces. Es que eso ya es que tenía yo duda, porque al final, no sé si... Tienes raíces, ¿no? He activado... 404 00:24:39,400 --> 00:24:41,480 Siempre me va un poco, pero bueno, lo activaré. 405 00:24:41,480 --> 00:24:42,920 Vale, yo creo que 406 00:24:42,920 --> 00:24:44,420 salen ahí directamente 407 00:24:44,420 --> 00:24:46,619 pero de todas maneras 408 00:24:46,619 --> 00:24:49,140 tendré yo los datos 409 00:24:49,140 --> 00:24:51,119 o sea que si no lo ves pues te lo puedo 410 00:24:51,119 --> 00:24:52,420 mandar luego por correo 411 00:24:52,420 --> 00:24:54,720 No hay problema. Bueno Cristina 412 00:24:54,720 --> 00:24:56,140 muchas gracias por tu tiempo 413 00:24:56,140 --> 00:24:58,059 Muchas gracias a todos ustedes 414 00:24:58,059 --> 00:24:59,599 y a seguir 415 00:24:59,599 --> 00:25:02,000 Muchísimas gracias, buen día 416 00:25:02,000 --> 00:25:03,519 Igualmente, hasta luego