Defensa Proyecto Asir - David Cortázar Máximo - Juan Marcos López Collar - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 13 de junio de 2024 por Jose Luis D.

5 visualizaciones

Defensa Proyecto Asir - David Cortázar Máximo - Juan Marcos López Collar

Más información Transcripción

Descargar la transcripción

Vale, enseñadme el carnet para saber quién sois. 00:00:00

Así se ve bien. 00:00:05

Sí, más o menos. Perfecto. 00:00:06

Vale. 00:00:09

Vale. Pues nada, buenos días, Marco y David. 00:00:10

Hoy día 11 de junio a las 12.30 estamos convocados a través de Jefatura de Estudios para la defensa del módulo profesional de proyecto del ciclo formativo de grado superior de Administración de Sistemas Informáticos en Red. 00:00:15

Os informo que esta grabación se usará en el entorno cerrado de EDUCA Madrid con fines educativos 00:00:29

y sólo estará a disposición de los profesores evaluadores en el aula virtual 00:00:35

para llevar a cabo la evaluación y calificación de la defensa del proyecto. 00:00:39

En el aula virtual de proyectos habéis sido informados de los criterios y rúbrica de calificación. 00:00:44

El orden de la presentación del proyecto es el siguiente. 00:00:49

15 minutos máximo para defensa del proyecto, 5 minutos para preguntas por parte del tribunal. Dicho esto, vuestro tiempo de exposición comienza a partir de este momento. Adelante y mucha suerte. 00:00:52

Gracias. Empezamos 12.35, ¿vale? Muy bien. Vale, pues nada, el proyecto se basa en una 00:01:05

segurización e implementación de unas medidas de seguridad para empresas. Entonces, lo que 00:01:17

hemos hecho ha sido utilizar varias herramientas para cubrir las distintas necesidades, implementando 00:01:24

gestores de contraseñas para que puedan almacenar los usuarios contraseñas complejas en espacios seguros, cifrados, y dando seguridad a los accesos a distintos servicios. 00:01:33

No sé si puedes pasar, Margos. Bueno, los objetivos principalmente han sido aplicar estas medidas de seguridad que comentaba, ya te digo, a base de un gestor de contraseñas que van a ser lo que van a utilizar los usuarios. 00:01:48

Segurizar también o dar seguridad a un directorio activo 00:02:04

Poniendo una política de seguridad que permita caducar las contraseñas 00:02:10

Y permitiendo a los usuarios que están trabajando fuera de la oficina 00:02:14

Un cambio de contraseña a través de un navegador web 00:02:18

Que permite cambiar la contraseña del directorio activo 00:02:21

E incluso desbloquear las cuentas si hubiesen tenido algún bloqueo 00:02:25

Por reintroducir más las contraseñas 00:02:29

La segurización también de un sitio web 00:02:30

Por ejemplo, como os he puesto, ha sido un cliente que tiene un WordPress y quiere, aparte de un doble factor, implementar una medida extra de seguridad, una capa extra de seguridad, que permita bloquear o dejar desactivado el sitio y que no se pueda acceder, aunque tenga las credenciales correctas. 00:02:34

Se han buscado herramientas gratuitas con posibilidad luego de ampliar con suscripciones o con licencias según las necesidades que vaya teniendo la empresa y va creciendo. 00:02:54

La planificación la hemos realizado todo entre ellos a través de tarjetas, en las que se han establecido tiempos para las pruebas 00:03:04

y se han asignado también tareas, hemos ido asignando tareas y viendo un diagrama de grant también para ver un poco los cumplimientos y cómo iba avanzando el proyecto 00:03:17

prácticamente esta es la foto 00:03:30

de lo que es el proyecto 00:03:34

el diseño de la solución 00:03:36

hay como tres apartados, una que está más orientada 00:03:38

a los usuarios como hemos comentado 00:03:40

antes, con la parte de Bitwarden 00:03:42

que generan 00:03:44

contraseñas 00:03:46

seguras y se almacenan cifradas 00:03:48

una caja fuerte 00:03:50

una parte más orientada 00:03:51

al servicio de Wordpress 00:03:54

en el que aparte de un doble factor 00:03:55

con un plugin que se ha implementado 00:03:57

Se ha puesto LATS, que es como una especie de pestillo que permite dejar inaccesible el sitio, aunque tengas las credenciales correctas. 00:04:00

Y luego la parte de acceso de usuarios a los servicios de la compañía, cuando acceden desde fuera, pues a través del servicio de ADS Service, 00:04:09

que está, digamos, vinculado al directorio activo, se permite esa interacción de usuarios con directorio activo a través de Internet. 00:04:18

Prácticamente las cuatro herramientas que hemos utilizado han sido eso, el plugin y tres herramientas que se pueden instalar tanto Bitwarden como Latch, ahí tiene una parte móvil también. 00:04:27

En el ejemplo más sencillo, el usuario que tiene una cuenta de Bitwarden gratuita accedería con su cuenta con un doble factor y a través de una, por ejemplo, Google Authenticator o Microsoft Authenticator, generaría sus entradas y se guardarían en una caja fuerte cifradas. 00:04:41

Tiene un gestor también que te ayuda a crear contraseñas largas con caracteres para que sean bastante más complejas que las contraseñas habituales. 00:05:07

La parte del service es un servicio que se instala en un servidor, se conecta con un directorio activo y publicas el servicio a través de internet o a través de un puerto. 00:05:19

Los usuarios accederían a ese portal y desde ahí accediendo con sus credenciales tendrían la posibilidad de cambiar sus contraseñas o desbloquear las cuentas. 00:05:32

Y la última parte de LATS, a través de, en este caso, WordPress, mediante un plugin que daría una capa de seguridad normal, de doble factor normal, se implementa aparte una solución extra que impide el acceso a no ser que se desbloquee por el administrador o los administradores que gestionan el sitio. 00:05:44

Los resultados obtenidos, yo creo que hemos conseguido 00:06:08

Es que esta presentación 00:06:15

Tú la tienes cambiada 00:06:17

Esta iba después de la demo 00:06:18

Si queréis vemos la demo 00:06:19

Si queréis yo presento un poco la demo 00:06:21

Para estar a vista 00:06:23

Si tú puedes conectar 00:06:25

Vemos 00:06:27

Como queráis 00:06:28

Vemos 00:06:30

La parte de lo que es 00:06:31

La gestión de contraseñas 00:06:34

Y la del Service Plus 00:06:36

Que es lo que buscamos, como lo que ha comentado David 00:06:38

es sobre todo capacitar a los usuarios que teletrabajan o no están dentro de la organización 00:06:40

poder gestionar sus propias contraseñas, tanto ante bloqueos o cambio de contraseñas. 00:06:48

Entonces lo primero que necesitamos era un directorio activo, que en un principio se planteó realizarlo con VirtualBox, 00:06:54

Pero como éramos dos, consideramos que era mejor opción hacerlo en Azure, ya que tiene una suscripción gratuita que te da la posibilidad de acceder durante un año y te da un crédito de creo que son 200 dólares para consumir en un mes. 00:07:03

Aquí tenemos el crédito que nos queda, quedan 16 días, en el cual hemos montado lo que es la máquina virtual junto con un grupo de seguridad, su disco y una IP pública para poder acceder desde fuera y en el grupo de seguridad creando las reglas de entrada y salida, pues tanto para permitir el acceso remoto, por control remoto y para acceder a lo que es el servicio de ADSL Service Plus. 00:07:20

Ya tengo corriendo aquí la máquina que está arrancada y estoy conectado con el administrador, en el cual tenemos el directorio activo, que hemos creado varios usuarios para las pruebas, un grupo de política para establecer lo que es la restricción de las contraseñas, caducidad y expiración, etc. 00:07:45

Ya que por defecto no viene configurado. Y luego tenemos el servicio de Azure Service Plus, el cual ya he iniciado como administrador, en el cual hemos descubierto que la configuración es muy, muy, muy amplia. 00:08:07

Es un software que en principio es gratuito, te da un mes de trial y al mes se convierte en licencia gratuita para un máximo de 50 usuarios. 00:08:23

Por lo cual, para una pequeña empresa es más que de sobra. 00:08:35

Si vamos a hacer una pequeña demostración con usuarios vía por fuera, entonces, por ejemplo, si accedemos aquí al portal, 00:08:39

podemos acceder con un usuario que ya está enrolado 00:08:52

que sería el Ducadón 00:08:56

si no me equivoco 00:08:58

si por ejemplo este usuario no recordará la contraseña 00:09:01

digamos que no recuerda su contraseña, podría marcar olvido su contraseña 00:09:03

le pide a su usuario 00:09:07

le pide un catch up, es del dominio DOM 00:09:10

que es como lo hemos llamado 00:09:15

rgbt6n 00:09:16

y una vez que entra, en esta parte se puede 00:09:20

configurar también multifactor, con Google 00:09:23

Autodidicator, con Microsoft Autodidicator. 00:09:25

Nosotros para facilitarlo y no tener que 00:09:27

exponer el móvil 00:09:30

lo hemos hecho con las preguntas seguras. 00:09:31

Esto es 00:09:35

máximo. 00:09:35

Esto es verde. 00:09:37

Y esto es 00:09:38

OGT 00:09:40

MC6. 00:09:42

Vale. 00:09:46

Sobrino, sobrino, mayor. 00:09:56

Vaya. 00:10:00

Eso ha cambiado la pregunta. 00:10:01

Esa pregunta no la tengo. Y algo he hecho raro antes. Vale. Bueno, pues no voy a poder cambiar la contraseña de este usuario. Tengo otro. Tenemos otro usuario, que es M. López. Este usuario no está inscrito todavía en la aplicación. Existe en el directorio activo, pero todavía no se ha dado de alta en la plataforma de autoservicio. 00:10:02

Por lo cual la primera vez que haga el acceso me va a pedir que haga el rolador 00:10:28

Simplemente vamos a poner aquí una respuesta rápida 00:10:34

Ya me indica que me he suscrito correctamente, me da la posibilidad de activar el MFA 00:10:39

Y ya tendríamos la opción, por ejemplo, de cambiar la contraseña 00:11:04

Para comprobar que funciona, vamos a salir de la plataforma 00:11:08

Vamos a hacer una conexión remota contra el servidor, pero con este usuario, con M. López. Lo que vamos a hacer es introducir la contraseña mal para que el usuario al cuarto intento se bloquee. 00:11:12

Ya nos indica que el usuario ha sido bloqueado, por lo cual este usuario ya no podría acceder desde fuera. En cambio, al estar inscrito en la plataforma, nos indica que está bloqueada, por lo cual podríamos acceder desde cuenta bloqueada. 00:11:36

Nos pide un código captcha. Nos pedirá ahora las respuestas de seguridad. Su identidad ha sido verificada intensamente. Proceda con la acción de autoservicio. Me pide otro captcha. Y hemos desbloqueado la cuenta accediendo desde fuera de la red. 00:11:58

Ahora si intentamos conectar vía terminal server, introducimos la contraseña correctamente, y se nos conectaría a este remoto. En este caso no se conecta porque ya lo tengo abierto con otro administrador. 00:12:39

Entonces, como podemos ver, la herramienta nos facilita claramente lo que es la gestión de usuarios, credenciales, bloqueos ante usuarios que se encuentran fuera de la organización. 00:12:52

sobre el producto 00:13:03

no hay más 00:13:07

luego si podemos ver preguntas 00:13:09

no sé David si tú puedes 00:13:11

voy a intentar compartir 00:13:13

a ver si me deja compartir la pantalla 00:13:15

son contraseñas bastante 00:13:17

fuertes y se pueden organizar 00:13:21

por tipos de caja fuerte 00:13:23

se pueden hacer varios tipos de entradas 00:13:25

esto es una aplicación para usuarios 00:13:27

sobre la parte de Wordpress 00:13:30

Si cerramos sesión ahora mismo, por ejemplo, en el móvil, tengo echado el pestillo, digamos, he hecho el latch, con lo cual si ponemos ahora las credenciales, accedemos a través de código. 00:13:31

El código TOTP lo hemos puesto también a través de Latch para unificar un poco todo. Voy a compartiros un momento el móvil a través del Mac y aquí directamente, aparte del doble factor, nos va a pedir que esté abierto el pestillo. 00:13:48

Vale, ¿podéis ver mi móvil? 00:14:11

Sí, estamos viendo el... Vale, ahora 00:14:17

Pues aquí realmente nos va a dar un código 00:14:20

TOTP, ¿vale? Que ya está asociado con 00:14:23

este acceso y luego la parte del pestillo 00:14:26

que sería la parte del latch, ahora mismo vemos que está protegido 00:14:29

Si yo lo dejo protegido 00:14:32

aunque introduzca bien el usuario y la contraseña 00:14:34

me va a decir que hay un error de credenciales 00:14:38

Entonces, por ejemplo, ahora 00:14:42

Vamos a meter el código que hemos puesto antes. Sería 158698. Accederíamos al sitio. Realmente el código está bien puesto, está todo bien hecho, pero si alguien nos hubiese hackeado las contraseñas, a nosotros nos llegaría al móvil como un intento de acceso de protección. 00:14:43

Si hemos ido nosotros y no nos hemos dado cuenta 00:15:06

Directamente desde aquí puedo desbloquear el servicio 00:15:09

Y ya podría acceder directamente al sitio 00:15:12

Ahora mismo estaría abierto el pestillo 00:15:15

Si yo pongo bien el código 00:15:21

Como hemos hecho antes 00:15:23

320970 00:15:25

Ahora sí que puedo acceder bien a WordPress 00:15:29

Incluso me llega también un aviso 00:15:34

De que se ha iniciado sesión 00:15:37

para que sepa que se ha hecho un acceso al sitio. 00:15:40

Normalmente lo que se suele hacer también es ya desbloquearlo, 00:15:47

porque ya una vez que he iniciado sesión lo dejo desbloqueado 00:15:50

por si luego ya no voy a volver a entrar en tiempo. 00:15:52

Aquí directamente lo que se ha utilizado son un par de plugins, 00:15:56

uno que es el de Doble Factor y el de Latch. 00:16:00

Esto se ha configurado a través de la aplicación de Latch. 00:16:03

Tienes que crear una cuenta, una cuenta de desarrollador 00:16:08

Y crearte una aplicación 00:16:11

Cuando creas la aplicación o servicio 00:16:13

Que es el que quieres asociar con tu sitio 00:16:15

Generas un secreto 00:16:18

Y un código, un ID 00:16:21

Que es el que tienes que integrar con el plugin 00:16:23

Aquí por ejemplo, te da la opción gratuita 00:16:25

Te da posibilidad de crear 00:16:27

Dos servicios 00:16:29

Entonces directamente 00:16:31

Tendrás que crear el secreto, el ID 00:16:33

Y esto ya directamente 00:16:35

si vamos a 00:16:37

al plugin 00:16:38

estaba ahí, estaba ahí 00:16:40

abajo, estaba aquí 00:16:46

ajustes 00:16:47

ajustes, ajustes, ajustes, lunch 00:16:48

aquí estamos, perdón 00:16:52

que no lo veía, aquí es 00:16:54

para asociarlo directamente 00:16:56

se hace a través del secreto 00:16:57

del ID, luego también a los usuarios 00:17:00

hay usuarios a los que queremos 00:17:02

asociarlos o no, pues aquí se puede asociar 00:17:04

el doble factor y ahí asociar 00:17:06

el lunch también, en este caso 00:17:08

el DATS está protegido para este usuario 00:17:12

hay usuarios a lo mejor que son 00:17:15

creadores de contenidos, usuarios más básicos 00:17:17

que incluso no hace falta 00:17:20

con doble factor sería suficiente 00:17:21

Vale, volvemos 00:17:23

creo que como demo no tenemos 00:17:28

no hay más, ¿no? 00:17:30

¿No, David? 00:17:32

No, como demo es esto también 00:17:33

Vale, acabamos la presentación 00:17:36

si quieres 00:17:38

De la presentación que hemos visto 00:17:39

sería los resultados obtenidos 00:17:48

que realmente 00:17:54

los puntos que queríamos cubrir 00:17:56

pues si hemos 00:17:59

conseguido realizarlos 00:18:01

a través de las distintas 00:18:02

soluciones, a través de 00:18:04

Bitwarder, las contraseñas seguras 00:18:06

la parte de 00:18:08

cambio de credenciales a través de 00:18:10

directorio activo y ADS 00:18:12

el service y la parte 00:18:14

de un doble factor 00:18:16

de doble factor 00:18:18

y LATS para el vestido para darle más seguridad a un CMS, a WordPress en este caso. 00:18:20

Y bueno, como aprendizaje, nos hemos pegado con bastantes herramientas también. 00:18:30

Hay distintas herramientas en el mercado para hacer todas las funciones. 00:18:37

Por ejemplo, para el tema de gestor de credenciales está OnePass, hay un montón de utilidades. 00:18:42

Pero bueno, de todas las que hemos visto nos hemos decidido por Bill Warren. Y luego la parte de la gestión de credenciales, pues igual, también hay otros servicios. De Microsoft, por ejemplo, tiene licencias para Microsoft Entra, P1, P2, que son licencias profesionales, pero son mucho más caras que licencias, como en este caso, de servicios de terceros. 00:18:48

Y la parte innovadora, pues yo creo que Latch también no es muy conocido, pero digamos que da una capa extra para aumentar, aunque tengas doble factor y tengas una contraseña segura o bastante fuerte, tener la posibilidad de dejar el sitio parado, digamos como cerrado con un cadenador. 00:19:15

Y bueno, las posibles aplicaciones, la parte de Latch, por ejemplo, se integra con Salesforce, con un montón de CMS, con aplicaciones, incluso puedes hacer una aplicación personal cuando se dedicas. 00:19:36

Y las medidas de seguridad prácticamente se aplicarían mejor a pequeñas empresas, a pymes, por ejemplo, que quieran empezar con este tipo de seguridad, con la posibilidad de ir ampliando. 00:19:51

Vale. Bueno, pues... 00:20:09

¿Seguro con esto? 00:20:12

Sí, por nuestra parte ya, pero no sé si a lo mejor hay preguntas. 00:20:13

Sí, sí, un par de preguntitas. 00:20:16

en la parte 00:20:19

a ver, vosotros tenéis 00:20:22

José Luis está en silencio 00:20:24

perdón, que estoy aquí hablando solo 00:20:25

digo, nos hemos quedado solos 00:20:29

una preguntita 00:20:31

a ver 00:20:34

entiendo que todo esto está alojado 00:20:34

en la nube, ¿no? 00:20:38

tenéis tanto Wordpress como 00:20:39

como todas las 00:20:41

herramientas que estáis instalando 00:20:44

entonces, la duda es 00:20:45

Si la empresa que os pide esta implantación tiene su directorio activo on-premise, ¿qué tipo de conectividad necesita para integrarse con estas herramientas? 00:20:48

¿Apertura de puertos y tal? 00:21:04

lo podría mostrar si bueno no en el caso de las edades el service plus a ver si tiene un 00:21:06

directo activo imagino y una lan tendrá un firewall y en el favor habría que habilitar 00:21:16

el puerto para para las conexiones entrantes en este caso si no me equivoco es el 99 00:21:21

el 9251 00:21:29

que es el que recomiendan 00:21:33

pero vamos, se puede poner el puerto que creas 00:21:35

porque incluso en las primeras pruebas utilizamos el 8080 00:21:38

luego ya lo cambiamos de nuevo al 9251 00:21:41

nosotros en el Azure se tuvo que crear en un grupo de seguridad 00:21:43

permitir el tráfico entrante en ese puerto y el saliente 00:21:47

igualmente que el RDP 00:21:50

para las conexiones remotas 00:21:53

Pues en un on-premise sería exactamente igual. Nosotros lo hemos desarrollado en Azure por la comodidad también. 00:21:55

Sí, sí, perfecto, no pasa nada. 00:22:03

Pero está más pensado realmente para on-premise. 00:22:04

Exactamente, para todos los on-premises, sí. 00:22:08

Y durante la parte de instalación, entiendo que no veis, esa parte no la tenéis, ¿no? 00:22:10

¿Parte de instalación de ADS Service? 00:22:17

no no no no me refiero a la identificación de las aperturas sobre un fallo por algo así es 00:22:19

no tenéis si yo comentaba creo que está en un pantallazo en el anexo yo creo que hay 00:22:27

algún parte de los anexos estáis indicáis qué tipo de conexión hay que hacer perfecto y luego 00:22:34

Hemos hablado que, quiero decir, vosotros, si la empresa que os lo pide no tiene un directorio activo on-premise, 00:22:42

sino que lo tiene en la nube, entonces estáis utilizando, habéis utilizado una licencia de Azure, digamos, gratuita, ¿no? 00:22:54

Sí. 00:23:04

Entonces, ¿habéis evaluado? Imaginad que esto se lo presentáis a una empresa que quiere tener toda su infraestructura dentro de la nube. ¿Habéis hecho algún cálculo de costes ahí sobre qué necesitaría? 00:23:04

A ver, realmente lo que pensamos es que implementarlo en la nube para un cliente final deja de tener un poco sentido, tal vez porque Microsoft ya posee, por ejemplo, las licencias P1, P2 de Entra, Cell Service, que proporcionan este servicio. 00:23:22

Por eso digo que la herramienta en sí está pensada para un directorio activo en premise, para pequeña empresa que tiene directorio activo antiguo. Si ya tienes un directorio moderno en la nube, la nube te brinda esas opciones realmente. 00:23:43

Sí, son algo más caro, las licencias P1 y P2 son un poquito más caras, pero mejor solución en nube, mejor solución... 00:23:58

O sea, que la solución que vosotros planteáis es para una empresa que tenga un directorio activo y que quiera securizar o añadir seguridad a su... 00:24:08

Sí, sobre todo la gestión a nivel Heldes. Los usuarios que están teletrabajando, que ahora es algo muy habitual, pueden gestionar ellos mismos sus bloqueos y sus cambios de contraseña. 00:24:20

De la otra forma, necesitarían un soporte técnico cada vez que se bloquea, cada vez que quieren realizar un cambio. 00:24:31

Abrir una VPN o ir a la oficina o cosas así. 00:24:36

Muy bien, pues por mi parte nada más. 00:24:41

Perfecto. 00:24:44

Gracias a ti. 00:24:46

Y nada, ya la nota la tenéis el 24 de junio, ¿vale? Después de las extraordinarias. 00:24:47

Vale, perfecto. 00:24:55

Muy bien. 00:24:56

Y ahí iremos a hablar. 00:24:57

De acuerdo, Juan Luis. Muchas gracias. 00:24:58

Muchas gracias. 00:25:00

Vale, gracias David. 00:25:01