1
00:00:00,000 --> 00:00:07,560
Buenas tardes, Valentín. Hoy, día 18 de enero, estamos convocados a través de jefatura

2
00:00:07,560 --> 00:00:11,600
de departamento para la defensa del módulo profesional de proyecto del ciclo formativo

3
00:00:11,600 --> 00:00:16,680
de grado superior de administración de sistemas informáticos en red. Informo que esta grabación

4
00:00:16,680 --> 00:00:21,340
se usará en el entorno cerrado de EDUCA Madrid con fines educativos y sólo estará a disposición

5
00:00:21,340 --> 00:00:25,920
de los profesores evaluadores en el aula virtual para llevar a cabo la evaluación

6
00:00:25,920 --> 00:00:31,160
y calificación de la defensa del proyecto. En el aula virtual de proyectos habéis sido

7
00:00:31,160 --> 00:00:35,800
informados de los criterios y rúbrica de calificación. El orden de la presentación

8
00:00:35,800 --> 00:00:41,400
del proyecto es el siguiente, 15 minutos máximo para defender el proyecto y 5 minutos para

9
00:00:41,400 --> 00:00:48,200
preguntas por parte del tribunal si este lo estima oportuno. Y nada, dicho esto, tu tiempo

10
00:00:48,200 --> 00:00:52,240
de exposición comienza a partir de este momento, o sea que adelante y suerte.

11
00:00:53,200 --> 00:00:58,800
Bueno, muy buenas, lo primero. Voy a compartirte la pantalla.

12
00:01:03,560 --> 00:01:10,360
Confírmame que se ve bien. Tengo aquí el PowerPoint, un pequeño PowerPoint que hice

13
00:01:10,360 --> 00:01:16,600
para la presentación. El proyecto consiste en un análisis masivo de ficheros mediante

14
00:01:16,600 --> 00:01:24,120
una API antivirus de solución comercial como es MetaDefender y una aplicación de

15
00:01:24,120 --> 00:01:28,240
código abierto como es Nifi, que es de Apache o lo que es Niagara File.

16
00:01:30,200 --> 00:01:35,560
Vale, en la presentación mostraremos las mejores prácticas y enfoques para un manejo de archivos

17
00:01:35,560 --> 00:01:43,640
entre ambos sistemas y se examinará la importancia de la seguridad en una empresa,

18
00:01:43,680 --> 00:01:50,760
en el entorno de una organización. Lo primero es MetaDefender. La API de MetaDefender es una

19
00:01:50,760 --> 00:01:57,800
interfaz de programación de aplicaciones que, bueno, está comercializada por OPSWatt y aparte

20
00:01:57,800 --> 00:02:05,520
de la utilización que le vamos a dar hoy mediante consultas a su API, tiene una interfaz web a nivel

21
00:02:05,520 --> 00:02:11,360
público, pues como de virus total, que es un tipo de página que tú puedes subir archivos y comprobar

22
00:02:12,360 --> 00:02:19,880
si tienen algún tipo de virus o algún problema en la compilación. En este caso,

23
00:02:19,880 --> 00:02:27,240
la herramienta API que vamos a utilizar son 8 motores antivirus, que más tarde lo veremos

24
00:02:27,240 --> 00:02:33,400
de cuáles se tratan. Tienes varias opciones a la hora de contratar el producto, desde 4 motores

25
00:02:33,400 --> 00:02:38,200
hasta 24 si no me equivoco, pero en principio nosotros vamos a utilizar 8. Creo que es un

26
00:02:38,600 --> 00:02:47,560
número de motores más que suficiente para verificar si un fichero es bueno o está infectado. La

27
00:02:47,560 --> 00:02:52,680
interfaz gráfica luego la vamos a ver más en detalle, pero un pequeño resumen sería este.

28
00:02:52,680 --> 00:02:59,040
Aquí tenemos un panel de control en el que podemos ver una gráfica de las últimas 24 horas,

29
00:02:59,040 --> 00:03:04,280
el número de ficheros que han sido analizados. No sé si lo veis bien, lo puedo ampliar un poquito

30
00:03:04,280 --> 00:03:09,680
más, pero luego lo vamos a ver más en detalle. Si quieres ejecutar, si quieres dar la F5 para

31
00:03:09,680 --> 00:03:15,040
que sea pantalla completa, los slides, como quieras, y lo vas pasando con el teclado. Aquí

32
00:03:15,040 --> 00:03:22,280
lo tenemos. Tenemos una interfaz gráfica donde podemos ver el número de ficheros que han sido

33
00:03:22,280 --> 00:03:27,600
bloqueados, los que se han sido procesados en las últimas 24 horas o en últimos 2 días, 30 días,

34
00:03:27,600 --> 00:03:34,160
etcétera. Luego vamos a ver más en detalle paso por paso cada uno y esto sería lo que es una

35
00:03:34,160 --> 00:03:42,600
interfaz que podríamos gestionar desde un servidor donde está instalada la aplicación y donde

36
00:03:42,600 --> 00:03:51,600
podemos personalizar y configurar muchísimas opciones. ¿Qué es el MetaDefender? Pues lo que

37
00:03:51,600 --> 00:03:56,200
comentaba un poco en detalle es esto, es la eficiencia de la detección de amenazas, que permite

38
00:03:56,200 --> 00:04:01,880
un análisis adaptivo de una gran variedad de ficheros. Tiene el análisis multimotor, como

39
00:04:01,880 --> 00:04:07,320
comentaba, en este caso vamos a utilizar 8 motores, y detección de amenazas avanzadas, pues que

40
00:04:07,320 --> 00:04:13,200
buscan cadenas, análisis heurístico, etcétera, y la integración con flujo de trabajo y automatizados

41
00:04:13,200 --> 00:04:19,840
y API, que es lo que vamos a ver hoy. Luego, la otra integración, ¿con qué va a ser? Va a

42
00:04:19,840 --> 00:04:24,160
ser con Apache Nifi. Apache Nifi, como comentaba, es un proyecto de código abierto que está

43
00:04:24,160 --> 00:04:30,840
desarrollado por Apache y es una plataforma que consiste en automatizar flujos de datos. En este

44
00:04:30,840 --> 00:04:37,560
caso, integrando un fichero que entre en nuestro sistema o en nuestro servidor de ficheros de la

45
00:04:37,560 --> 00:04:47,400
organización y vaya a ir a cualquier otro lugar dentro de nuestra red. Esto es un poquito más

46
00:04:47,400 --> 00:04:53,720
lo que acabo de comentar, es un flujo de datos que mueven los ficheros por diferentes procesadores

47
00:04:53,720 --> 00:05:00,520
o cajas, y los procesadores son eso, son bloques en el que cada uno le indicas qué acción quieres

48
00:05:00,520 --> 00:05:06,760
que realice. En este caso, vamos a ver acciones de get file, que es coger un fichero, enviar la

49
00:05:06,760 --> 00:05:12,800
consulta al API, consultar el resultado que le ha dado al API, y en base a ese resultado, enviarlo

50
00:05:12,800 --> 00:05:19,800
a un lugar, si el fichero está ok y no tiene ninguna infección, a un lugar, si tiene contraseña

51
00:05:19,800 --> 00:05:27,280
a otro, o si está infectado a otro. Todo esto se gestiona desde una interfaz gráfica que nos

52
00:05:27,280 --> 00:05:33,920
permite monitorizar y gestionar de una manera bastante sencilla todos los pasos que queramos

53
00:05:33,920 --> 00:05:42,920
realizar. Esta es la interfaz gráfica de NIFI, básicamente consiste en eso, son pequeñas cajas,

54
00:05:42,920 --> 00:05:52,040
dentro de estas cajas va paso a paso qué es lo que va haciendo cada procesador, y según como

55
00:05:52,040 --> 00:05:59,400
comentaba, el resultado del fichero lo desplazaremos a un lugar o a otro. Esto es un poquito más en detalle

56
00:05:59,400 --> 00:06:08,040
dentro de estas primeras cajas, como comentaba, esto es un get file, un update attribute, luego lo vamos a ver

57
00:06:08,040 --> 00:06:17,160
más en detalle, pero para tener una pequeña idea antes de comenzar. El laboratorio que he simulado

58
00:06:17,160 --> 00:06:23,960
sería algo parecido a esto, que sería un empleado desde su casa, con su equipo de teletrabajo, necesita

59
00:06:23,960 --> 00:06:29,320
depositar en la red corporativa un fichero porque ha estado trabajando en él, o porque lo ha conseguido

60
00:06:29,320 --> 00:06:40,480
de algún lugar, y necesita que esté en un entorno de la red de la empresa. He simulado con UMWare

61
00:06:40,800 --> 00:06:48,080
tres máquinas virtuales, una simula un Windows 10 como si fuese un empleado normal, otra un firewall de

62
00:06:48,080 --> 00:06:58,400
checkpoint, y el servidor de ficheros que contiene la aplicación de MetaDefender y la aplicación de NIFI.

63
00:06:58,400 --> 00:07:04,080
Están las dos alojadas en el servidor de la empresa, ¿verdad?

64
00:07:04,160 --> 00:07:12,880
Eso es. Digamos que la red corporativa sería un firewall perimetral el que tenemos, que luego veremos la

65
00:07:12,880 --> 00:07:20,800
política que tiene de que solo permite conexiones desde la IP del equipo del empleado a la IP del servidor de

66
00:07:20,800 --> 00:07:27,440
ficheros, y el protocolo en este caso ha permitido FTP y el protocolo ICMP para confirmar que el servidor está

67
00:07:27,440 --> 00:07:37,200
levantado y nos contesta. Entonces, el firewall tendría dos patas, una pata externa que daría internet y una

68
00:07:37,200 --> 00:07:47,280
pata interna que sería LAN, que daría el servidor de ficheros. El firewall, como he comentado, se basa en

69
00:07:47,280 --> 00:07:53,040
Checkpoint, que es una solución comercial que antiguamente era Nokia y ahora se llama Checkpoint, la

70
00:07:53,040 --> 00:08:00,800
versión que voy a utilizar es la 8110. Y, bueno, pues básicamente lo que tienes es un IP table en el que se basa en

71
00:08:00,800 --> 00:08:10,960
machear que las conexiones que están intentando acceder están permitidas en su política. Esto sería la interfaz de la

72
00:08:10,960 --> 00:08:18,720
política del firewall. Bueno, la primera regla que hemos tenido que habilitar es para poder gestionar el firewall. En

73
00:08:18,720 --> 00:08:25,040
este caso lo he hecho desde el externo, pero la best practice, digamos que sería desde un PC interno de la red. Pero como

74
00:08:25,040 --> 00:08:31,680
el PC interno que tengo simulado ya tenía mucha caña con el MetaDefender y el NIFI, pues bueno, en este caso lo he hecho así.

75
00:08:31,680 --> 00:08:39,680
Permitiríamos desde el IP que denominamos al firewall, pues estos protocolos que son protocolos propios de Checkpoint

76
00:08:39,680 --> 00:08:47,520
para poder gestionarlo, SSH y el ICMP igual para poder verificar. Y aquí, ¿qué permitimos? Siguiente conexión que

77
00:08:47,520 --> 00:08:58,080
permitiríamos sería el FTP desde el PC externo al interno, que sería servidor de ficheros, y esto el PC del empleado desde su casa

78
00:08:58,080 --> 00:09:05,680
por FTP y ICMP. Y todo el resto de conectividades que se intenten hacer hacia nuestra red corporativa que se denieguen.

79
00:09:05,680 --> 00:09:19,840
Bueno, si te parece, empiezo a explicar el funcionamiento ya del esto, o si tienes alguna duda con esto.

80
00:09:19,840 --> 00:09:31,040
Bueno, me había apuntado un par de cosillas porque me había mirado tanto la presentación como el PDF y al parecer aquí en la presentación no

81
00:09:31,040 --> 00:09:42,560
hace mención a ello y en el PDF sí. El tema de la metodología Scrum, que bueno, en tu proyecto ¿en qué parte concretamente se ha aplicado?

82
00:09:42,560 --> 00:09:45,520
La parte, entiendo de NIFI, ¿no?

83
00:09:45,520 --> 00:09:57,760
Eso es. Digamos que sería en aplicar la parte de NIFI. Bueno, sería una integración entre ambas tecnologías, pero sí, en este caso sería la de NIFI principalmente.

84
00:09:57,840 --> 00:10:03,040
Vale, ¿y los problemas que tenías de indexación de logs se pudieron solucionar al final?

85
00:10:03,040 --> 00:10:14,240
No, en este caso no he podido porque el equipo donde tengo montado la máquina virtual no daba para más. En este caso la solución que yo tenía pensada era Splunk,

86
00:10:14,240 --> 00:10:24,640
que es un indexador de log, en el que cada vez que un fichero NIFI lo recoge para enviarlo al análisis, lo loga y según el resultado que dé,

87
00:10:24,640 --> 00:10:36,560
también nos muestra así el fichero. Entonces, puede ser un empleado una situación que nos diga, oye, que he enviado este fichero y no lo veo en mi directorio de la empresa.

88
00:10:36,560 --> 00:10:47,520
Pues que tengas acceso a un log, buscas el nombre del fichero y ves, pues mira, ha pasado y no está permitido porque ha metido un zip con contraseña o el fichero está infectado

89
00:10:47,520 --> 00:10:53,920
o es una extensión que no está permitida por política de seguridad. Pero en este caso no.

90
00:10:53,920 --> 00:11:00,160
Está contemplado todo el tema de, o sea, se asegura que no se pierden datos, ¿no?

91
00:11:00,160 --> 00:11:02,960
Eso es, sobre todo una trazabilidad del fichero.

92
00:11:02,960 --> 00:11:05,280
Y eso está fino, ¿no?

93
00:11:05,280 --> 00:11:13,200
Eso es, sería la trazabilidad del fichero, de en qué momento entra en el sistema, el resultado que ha tenido y en dónde se depositaría.

94
00:11:13,200 --> 00:11:14,880
Vale, venga, sigue.

95
00:11:14,880 --> 00:11:15,360
¿Vale?

96
00:11:15,360 --> 00:11:16,560
Vale.

97
00:11:16,640 --> 00:11:31,120
Bueno, pues paso a la presentación del funcionamiento básico del sistema o de las aplicaciones.

98
00:11:31,120 --> 00:11:36,160
En este caso voy a parar todos los, esto sería el flujo de NIFI como hemos hablado.

99
00:11:36,160 --> 00:11:43,040
Se accede, en este caso con un local host porque está instalado en la propia máquina Windows por el puerto 8443.

100
00:11:43,040 --> 00:11:49,280
Este es un puerto que te permite NIFI poner el que tú quieras, pero bueno, en este caso el que te viene por defecto es este.

101
00:11:49,280 --> 00:12:04,480
Y luego la aplicación de MetaDefender que, como hemos visto, pues eso, tiene, es una etefa bastante sencilla, intuitiva, no tiene mucho más que explicar.

102
00:12:04,480 --> 00:12:15,880
Entonces, una vez que tenemos todos los flujos de NIFI parados, vemos que se nos van poniendo en rojo.

103
00:12:15,880 --> 00:12:23,000
Esto indica que ahora mismo que el flujo de NIFI está parado y que cualquier fichero que entre en el sistema no se va a analizar ni se va a mover a ningún lado.

104
00:12:23,000 --> 00:12:23,560
¿Vale?

105
00:12:23,560 --> 00:12:24,360
Vale.

106
00:12:24,360 --> 00:12:29,360
Entonces, vamos a empezar lo que sería un envío de un fichero normal.

107
00:12:29,360 --> 00:12:50,000
Mi equipo de cliente, bueno, lo que comentaba antes de la consola del Firewall desde donde se gestiona, que aquí nos permitiría, pues eso, quitar si no queremos permitir o cambiar la dirección IP del objeto o del servidor nuestro de ficheros si tenemos más de uno, etcétera.

108
00:12:50,000 --> 00:13:02,160
En este caso, como está permitida la conexión FTP, lo que he hecho con el WinSTP, pues, bueno, tengo una conexión directa con el servidor de ficheros, con mi usuario Marcos.

109
00:13:02,160 --> 00:13:19,440
Bueno, comentar también que el servidor NIFI, las conexiones para hacerse a través del FTP se hacen a través de un filecilla en el que, bueno, hemos configurado un par de usuarios que se llaman Marcos y Pepe,

110
00:13:19,440 --> 00:13:26,200
donde van a dejar los ficheros en sinalanizar de su nombre, ¿vale?

111
00:13:26,200 --> 00:13:27,080
Vale.

112
00:13:27,080 --> 00:13:38,760
Entonces, yo en este caso con el usuario Marcos me conectaría al servidor por protocolo FTP, lo más lógico sería SFTP, pero bueno, en este caso para hacer la prueba habilitamos el FTP.

113
00:13:38,760 --> 00:13:52,120
Nos conectaríamos y nosotros no veríamos en ningún momento la ruta ni nada, solo veríamos un directorio que apunta al servidor de ficheros en el que nosotros diremos, vale, pues voy a pasar los ficheros que yo quiero.

114
00:13:52,120 --> 00:14:10,920
En este caso un fichero test.txt, un fichero cifrado, que es un 7-zip con una contraseña y un fichero EICAR, que es un fichero para hacer pruebas de antivirus, etcétera, que da siempre como que es una amenaza.

115
00:14:10,920 --> 00:14:39,400
Hemos depositado nuestros ficheros ya en el servidor para que entren en nuestra recorporativa. Hemos visto aquí como han entrado los ficheros en el Filecilla, los logs del Filecilla, pues si tenemos algún tipo de duda, etcétera, esto lo voy a cerrar ya, y se han quedado depositados aquí, en el directorio sin analizar, Marcos, y tenemos nuestros tres ficheros para analizar.

116
00:14:39,400 --> 00:14:40,200
Vale.

117
00:14:40,520 --> 00:14:53,000
En este caso vamos a comenzar con lo que sería el flujo de NIFI, vamos a ir paso a paso y luego vamos a volver a hacer una prueba con todo automatizado.

118
00:14:53,800 --> 00:15:09,560
En primer lugar, haríamos un GetFile, en el que en el procesador de NIFI le hemos indicado el input directory de donde va a coger los ficheros. Si tienen algún filtro, en este caso ninguno, que puede coger cualquier tipo de ficheros.

119
00:15:09,880 --> 00:15:26,680
¿Vale? Entonces lo ejecutamos una vez y vemos que ya hay tres ficheros aquí encolados para pasar al siguiente procesador. Si esto fuese automático ya hubiesen pasado, pero bueno, vamos a ir paso a paso para...

120
00:15:27,640 --> 00:15:41,560
Podemos ver aquí en la cola que los ficheros que nos indican, él le pone un UID porque trabaja con esto NIFI, pero los ficheros serían estos tres.

121
00:15:41,560 --> 00:15:48,840
Ahora mismo únicamente ha hecho coger los ficheros, ha detectado del directorio, todavía no se han analizado.

122
00:15:49,000 --> 00:16:00,200
Siguiente procesador sería modificar el nombre del fichero. ¿Para qué? Para que en caso de que el fichero contenga algún carácter que no es UTC8, lo modifique.

123
00:16:00,200 --> 00:16:06,440
Si es cirílico o en árabe o cualquier cosa, que lo reemplace por unas barras bajas.

124
00:16:06,680 --> 00:16:07,240
Vale.

125
00:16:07,240 --> 00:16:23,800
Ni incluso, por si acaso tenemos algún tipo de problema a la hora de analizar. No deja de ser una herramienta comercial y el tema de los abecedarios que no son europeos, digamos, no sabemos cómo puede reaccionar.

126
00:16:24,600 --> 00:16:38,200
Siguiente paso, guardaría el fichero en temporal en el que le indicamos eso, que en tráfico temporal me lo mandes a la ruta que ha sido. En este caso sería Marcos, porque lo ha cogido de sin analizar Marcos.

127
00:16:38,200 --> 00:16:44,760
Vamos a ejecutar este para que lo mueva y este para que lo mueva temporal.

128
00:16:45,320 --> 00:16:56,600
Una vez ejecutado, bueno, solo se ejecuta una vez, dos y tres.

129
00:16:58,280 --> 00:17:00,280
Ya tendríamos aquí los tres ficheros.

130
00:17:07,080 --> 00:17:13,080
Ya no estarían en el directorio sin analizar, sino que estarían en el directorio temporal, Marcos.

131
00:17:15,080 --> 00:17:19,080
Si deberíamos de ver el ICAR ahora cuando lo ejecute una vez más.

132
00:17:26,120 --> 00:17:37,560
No sé dónde se ha llevado el fichero este, el ICAR. Posiblemente lo haya pasado, pero bueno, ahora lo volveremos a meter. Es que al final al ir paso por paso puede dar algún problema ya.

133
00:17:38,280 --> 00:17:51,240
Lo que comentaba de seedlog, en este caso, como no tenemos servidor de seedlog, le he puesto una IP que estaría dentro de nuestra red corporativa y mandaría el log con este cuerpo.

134
00:17:51,240 --> 00:17:59,000
Es un fichero nuevo detectado, el fichero con la ruta que sea y el nombre del fichero, el tamaño y se envía para su análisis.

135
00:17:59,960 --> 00:18:09,720
Voy a arrancar todos estos procesadores a la vez para ver cómo ya están tres encolados para ser enviados al análisis.

136
00:18:09,720 --> 00:18:19,400
Esto lo que hace es un invoco HTTP, que es invocar directamente a la API de MetaDefender a través del puerto 8008 en esta URL y le hace un post de los ficheros.

137
00:18:20,280 --> 00:18:33,160
Si nos vamos aquí ya al MetaDefender, vemos que nos ha detectado los ficheros. Este lo ha pasado peces por lo que he comentado, porque al haberlo ejecutado una vez lo habrá mandado peces.

138
00:18:33,160 --> 00:18:40,040
El fichero test, en el que nos indica que no ha habido ningún tipo de amenaza y que el fichero está permitido.

139
00:18:40,760 --> 00:18:56,360
El test cifrado con contraseña y el ejecutable. Aquí vemos los motores que comentaba, los ocho motores, que son motores comerciales y el resultado que han dado.

140
00:18:56,360 --> 00:19:03,720
En este caso esto no los ha ejecutado, pero de ocho, seis lo ha detectado como tal.

141
00:19:04,680 --> 00:19:15,240
Siguiente paso, una vez que haya sido analizado por el MetaDefender, tenemos el flujo de progreso de escaneo y resultado, que lo que hace es lo mismo.

142
00:19:15,240 --> 00:19:21,080
Con el data ID de según el resultado que le haya dado, consulta y hace un bucle continuo.

143
00:19:21,080 --> 00:19:32,600
En este caso son ficheros pequeños, pero si fuese un fichero de 2 gigas, una ISO, algo que tardaría bastante en analizarse, hasta que no llegue al 100% no actualiza el campo de motivo.

144
00:19:32,680 --> 00:19:38,680
Si tiene virus, si está limpio o si está cifrado.

145
00:19:42,680 --> 00:19:54,040
De esta manera levantamos todos los estos y si por algún casual el sistema no estuviese funcionando, nos daría un fallo, nos enviaría un email al servidor de email.

146
00:19:54,440 --> 00:20:04,520
Lo mismo que pasa con el SYNLOG, no tengo un servidor de email aquí, en el que con el FROM del sistema de análisis nos enviaría un correo tanto al usuario como al departamento de seguridad,

147
00:20:04,520 --> 00:20:10,200
indicando error. Error al intentar enviar el fichero, la ruta que está el fichero y el fichero.

148
00:20:10,200 --> 00:20:16,200
Y luego llegaríamos a la última.

149
00:20:16,200 --> 00:20:26,200
Estaría contemplado tanto una alerta de que ha habido un error en el flujo, en el tráfico y no ha llegado donde se debería llegar y otra diferente para cuando esté infectado ¿no?

150
00:20:26,200 --> 00:20:30,200
Exacto. Eso lo vamos a ver ahora.

151
00:20:30,200 --> 00:20:48,200
Este sería el último grupo de procesadores, que sería el movimiento al destino, en el que evaluaría el resultado y según el resultado que haya dado la API, en este caso, lo enviaría de un lugar a otro.

152
00:20:48,200 --> 00:21:04,200
Si el fichero no machea con ninguno de los motivos anteriores definidos, que son, si está permitido cifrado infectado, aquí en el procesador nosotros le indicamos los resultados que pueden dar.

153
00:21:04,200 --> 00:21:16,200
Podemos añadir tantos resultados como MetaDefender nos pueda dar. Me parece que hay una variedad de unos 500 o 600 tipos de resultados de análisis que puede dar. En este caso, los más básicos serían estos.

154
00:21:16,200 --> 00:21:29,200
Si no machea con ninguno de estos tres, y es otro de los 497 que he comentado de 500 que tiene, no lo mandaría a otros. Mandaría un SIGLOG igual, indicando que el fichero no ha sido permitido.

155
00:21:29,200 --> 00:21:41,200
Eso es lo primero. Y el resultado que nos ha dado, que no ha sido ninguno ni permitido ni bloqueado y el bloque a Reason.

156
00:21:41,200 --> 00:21:42,200
Vale.

157
00:21:43,200 --> 00:21:49,200
Y esto lo movería a un directorio dentro del servidor que se llama analizado otros.

158
00:21:52,200 --> 00:22:02,200
En caso de que el fichero esté permitido, mandaría igual un SIGLOG de que el fichero ya ha sido permitido y lo movería al directorio salida, que sería el directorio de limpios.

159
00:22:03,200 --> 00:22:08,200
Quiere decir que el fichero está correcto y puede entrar dentro de nuestra red.

160
00:22:09,200 --> 00:22:18,200
Y en caso de que esté infectado, lo mismo, nos mandaría todo esto siempre logado para poder mantener la traza del fichero en todo momento.

161
00:22:18,200 --> 00:22:26,200
Y lo movería a otro directorio que tenemos, que sería analizado infectados y la ruta. En este caso, Marcos.

162
00:22:26,200 --> 00:22:38,200
Si fuese cifrado, lo mismo, lo movería a cifrados. De temporal, que era el directorio que hemos movido mientras que se está analizando y una vez que ya ha sido analizado, lo deposita en el que sea.

163
00:22:38,200 --> 00:22:52,200
Si el fichero está cifrado o infectado, como se puede indicar aquí, cifrado infectado o otros, cualquiera de estos tres resultados, lo que va a hacer es enviarnos un email.

164
00:22:53,200 --> 00:23:09,200
Igual, al sistema análisis y al usuario y al departamento de seguridad, indicando el análisis del fichero tal ha sido resultado no sé cuántos y el motivo, infectado, cifrado, etc.

165
00:23:10,200 --> 00:23:16,200
Entonces, si arrancamos todo el procesador ahora.

166
00:23:19,200 --> 00:23:24,200
Este nos está dando una routine toufan porque ha movido dos veces el fichero como hemos visto antes.

167
00:23:24,200 --> 00:23:35,200
Entonces, ya vemos que en temporal no está el fichero y si nos vamos a analizado, veremos en cifrados. Este es anterior del otro día.

168
00:23:35,200 --> 00:23:47,200
Marcos, vemos el fichero test cifrado. En infectado, Marcos, vemos el fichero EICAR que nos ha detectado como virus y en limpios, Marcos, el fichero test.

169
00:23:49,200 --> 00:24:04,200
Una vez que ya haya sido el fichero sanitizado y esté en limpios, mediante incluso el propio ONIFI o cualquier otro programa, lo podríamos distribuir a los distintos servidores o lugar donde tenga que acabar el fichero.

170
00:24:05,200 --> 00:24:12,200
Luego, lo suyo sería, con una tarea programada, que los ficheros que no estén en limpios y lleven más de 30 días en el directorio.

171
00:24:16,200 --> 00:24:31,200
Porque entendemos que 30 días es un tiempo razonable para que el usuario se queje de que no le están llegando los ficheros y si en 30 días no nos ha protestado, el fichero se va a proceder a eliminar del sistema.

172
00:24:31,200 --> 00:24:35,200
Tanto si están infectados como cifrados o en el directorio otros.

173
00:24:37,200 --> 00:24:46,200
Entonces, básicamente, ese sería el funcionamiento del sistema.

174
00:24:48,200 --> 00:24:51,200
No sé si tienes alguna consulta, alguna duda.

175
00:24:52,200 --> 00:25:07,200
Desde tu conocimiento o experiencia con este tema, ¿crees que podría aportar algo nuevo este proyecto en este ámbito a lo que ya existe comercializado en el mercado?

176
00:25:08,200 --> 00:25:17,200
A la hora de grandes empresas, yo creo que le añadiría una capa más de seguridad, sobre todo el tema de la automatización.

177
00:25:18,200 --> 00:25:28,200
Porque hay muchas empresas que todavía, para intentar meter ficheros en las redes aisladas, tienen que ser de manera manual o autorizadas por alguien.

178
00:25:28,200 --> 00:25:36,200
Y de esta manera, conseguiríamos automatizarlo todo y dedicar los esfuerzos de las personas a otras labores.

179
00:25:37,200 --> 00:25:47,200
Estoy de acuerdo. Muy bien. Por mi parte, no sé si quieres añadir algo más o vamos por terminar la exposición.

180
00:25:48,200 --> 00:25:55,200
Creo que ha quedado todo bastante bien explicado y no tengo nada más que añadir.

181
00:25:55,200 --> 00:25:58,200
Venga, perfecto. Paro la grabación, entonces.