TAREA 1: Herramientas básicas para obtener información de servidores externos
- Ping: Utiliza la herramienta ping desde la terminal de tu ordenador para comprobar si están disponibles los siguientes hosts:
- www.google.es (O cualquier otra dirección conocida).
- www.euskalert.net
2 Whois: Busca información sobre el dominio que estás investigando. Encuentra la
persona que figura como contacto técnico y como contacto
administrativo.
Contacto Técnico
Registry Tech ID:
Tech Name | RESPONSABLE DE DNS |
Tech Organization | RESPONSABLE DE DNS |
Tech Street | JULIAN CAMARILLO 6 |
Tech City | MADRID |
Tech State/Province | MADRID |
Tech Postal Code | 28013 |
Tech Country | ES |
Tech Phone | +34.913752300 |
Tech Email | dns_admin@corp.terra.es |
Contacto Administrativo:
Registry Admin ID:
Admin Name | Mondragon Goi Eskola Politeknikoa, J.M.A., S.Coop |
Admin Organization | Mondragon Goi Eskola Politeknikoa, J.M.A., S.Coop |
Admin Street | Loramendi,4 |
Admin City | Arrasate |
Admin State/Province | GIPUZKOA |
Admin Postal Code | 20500 |
Admin Country | ES |
Admin Phone | +34.943794700 |
Admin Email | sistemak@eps.mondragon.edu |
3 NMAP: Analiza alguna de las anteriores direcciones. A continuación explica qué puertos están abiertos y cuál puede ser la razón. Nmap también intenta identificar los sistemas operativos y las aplicaciones que están corriendo en el servidor que estás investigando. Identifica alguna aplicación en el servidor y consulta en la página de la Base de Datos de Vulnerabilidades Nacional de Estados Unidos (NVD) a cuántas vulnerabilidades está expuesto.
El host esta caido de momento, asi que hago el analisis sobre : www.librosgratisxd.com
Link Vulnerabilidades NGINX Base de Datos de Vulnerabilidades Nacional de Estados Unidos (NVD)
https://web.nvd.nist.gov/view/vuln/search-results?query=nginx&search_type=all&cves=on
TAREA 2 : Búsqueda y puesta en común de recursos
LINKS:
Offensive Security Blog
Offensive Security Exploit Database Archive
Penetration Testing Software
Google Hacking Database
Ethical Hacking Forums
http://www.go4expert.com/forums/ethical-hacking-forum/
Comenzaremos en la máquina que enviará el correo, descargando la herramienta gpg4win, y una vez instalada abrimos su interfaz gráfica llamada Kleopatra para generar nuestro nuevo certificado.
Luego tendremos que elegir entre una de las 2 opciones de certificación, que en este caso será la primera debido a que no necesita una autoridad de certificación, sino que basta que sea un amigo que posea el certificado que vamos a crear.
Acto seguido especificamos el nombre del certificado el cuál puede llevar el nombre del propietario de la bandeja de correo, y el correo del cuál va a partir nuestro mensaje encriptado.
En el botón de Opciones avanzadas podemos tener más control de nuestro certificado, por ejemplo, añadir un tiempo de vida para el mismo, especificando en qué fecha vencerá y se hará obsoleto. Para cuestión de esta práctica, se lo dejará sin modificar más que solo los campos antes mencionados.
Luego aparecerá la vista general con los datos de nuestro certificado antes de proceder a crearlo.
Al crear el certificado, nos pedirá que ingresemos una contraseña para el mismo, la misma que también deberá saber la persona que reciba el correo si quiere hacer uso del certificado para descifrar el contenido del correo.
Con estos pasos, culmina la creación del certificado.
Lo que queda hacer es exportar el certificado en un archivo que más tarde usaremos en la extensión mailvelope para poder encriptar y luego descifrar el correo.
Establecemos la ubicación y el nombre que tendrá el archivo con la clave secreta exportada, y como punto importante, marcar la casilla de ASCII armor, ya que de no hacerlo, al momento de importar la clave en la extensión, nos saldrá un error ya que no se verán representados todos los caracteres.
Ya con el archivo exportado, podemos continuar descargando la extensión de mailvelope, que está disponible tanto para Chrome y Firefox.
Al descargarlo en el navegador, en Chrome en este caso, nos iremos a la extensión y luego al apartado de opciones para poder importar el archivo con la clave.
Le damos clic en Importar claves y luego en seleccionar fichero de texto con la clave a importar; donde seleccionaremos el archivo que habíamos exportado en los pasos anteriores.
Veremos un conjunto de caracteres, que en caso de haber marcado la casilla ASCII armor, no nos saldrá ningún mensaje de error, pero en caso de no haberlo hecho, este fichero no sirve y deberemos exportarlo de nuevo verificando que esta marcada la casilla antes mencionada.
Y listo, con esto ya tenemos exportada la clave, con la que podremos ya cifrar y descifrar nuestro correo.
Ahora podremos en evidencia la utilidad de esa clave, enviando un correo desde Gmail, en este caso, desde el mismo buzón que especifique al momento de crear el certificado con mis datos personales.
Si nos fijamos en el cuerpo del correo ahora aparece un botón que nos llevará a una ventana con las opciones de cifrado que deseamos que tenga nuestro correo.
La apariencia de esta nueva ventana es simple, ya que primero posee un área de texto donde podemos redactar nuestro correo, y una vez hecho esto, usamos el botón de cifrar para usar la clave que hemos importado.
Seleccionamos la clave que importamos y la añadimos para usarla.
Como se puede apreciar, el área donde redactamos nuestro mensaje ahora está cifrado, no podemos apreciar nada del contenido original que residía ahí hace unos momentos.
Pero eso no quiere decir que el mensaje ha sido eliminado, ya que está ahí presente pero esta encriptado.
Una vez enviado el mensaje a su destinatario, lo siguiente es verificar en qué estado llegó el mensaje.
Revisando la máquina con el buzón de destino, apreciamos que el mensaje ha llegado con éxito, pero que, a diferencia de los correos normales, este aparece con un candado, indicando que su contenido está posiblemente bloqueado.
Pero si le damos clic a ese candado para desbloquearlo, nos aparecerá el mensaje de que no poseemos la clave para desbloquear su contenido, ya que a simple vista veos que es un conjunto de caracteres que no dice anda específico, gracias a que está cifrado el contenido del correo.
Por lo que debemos añadir al navegador la extensión de mailvelope en caso de no tenerla, y seguido, importar el archivo con la clave de la misma manera que lo hicimos con la máquina que enviaba el mensaje antes.Para hacerlo en este ejemplo, envíe el archivo con la clave en un correo aparte, para que posterior a su descarga, se lo importe a la extensión.De haberlo hecho de manera correcta, al tratar de desbloquear el contenido del mensaje, ahora nos aparecerá que ingresemos una clave, la que, si nos preguntamos cuál es, es la misma que especificamos en el último paso de la creación del certificado usando gpg4win.
Y listo, al ingresar la clave correcta, nos descifrará el contenido del mensaje, que dando demostrado que, si el receptor del mensaje posee estos dos elementos claves que son: el archivo con la clave secreta del certificado exportado y la contraseña para hacer uso del mismo, podemos realizar un envío de mensajes de correo electrónicos de manera segura, cifrando su contenido ante otros usuarios que tengan acceso a esos buzones ya que, no basta con poseer el archivo exportado sino que también tenga conocimiento de la clave para usarlo, la misma que debemos tener cuidado de por qué medio se la damos a conocer al destinatario, procurando que sea él o ella la única persona con conocimiento de esta información.
Tarea 3: Envío de mensaje encriptado
Comenzaremos en la máquina que enviará el correo, descargando la herramienta gpg4win, y una vez instalada abrimos su interfaz gráfica llamada Kleopatra para generar nuestro nuevo certificado.
Luego tendremos que elegir entre una de las 2 opciones de certificación, que en este caso será la primera debido a que no necesita una autoridad de certificación, sino que basta que sea un amigo que posea el certificado que vamos a crear.
Acto seguido especificamos el nombre del certificado el cuál puede llevar el nombre del propietario de la bandeja de correo, y el correo del cuál va a partir nuestro mensaje encriptado.
En el botón de Opciones avanzadas podemos tener más control de nuestro certificado, por ejemplo, añadir un tiempo de vida para el mismo, especificando en qué fecha vencerá y se hará obsoleto. Para cuestión de esta práctica, se lo dejará sin modificar más que solo los campos antes mencionados.
Luego aparecerá la vista general con los datos de nuestro certificado antes de proceder a crearlo.
Al crear el certificado, nos pedirá que ingresemos una contraseña para el mismo, la misma que también deberá saber la persona que reciba el correo si quiere hacer uso del certificado para descifrar el contenido del correo.
Con estos pasos, culmina la creación del certificado.
Lo que queda hacer es exportar el certificado en un archivo que más tarde usaremos en la extensión mailvelope para poder encriptar y luego descifrar el correo.
Establecemos la ubicación y el nombre que tendrá el archivo con la clave secreta exportada, y como punto importante, marcar la casilla de ASCII armor, ya que de no hacerlo, al momento de importar la clave en la extensión, nos saldrá un error ya que no se verán representados todos los caracteres.
Ya con el archivo exportado, podemos continuar descargando la extensión de mailvelope, que está disponible tanto para Chrome y Firefox.
Al descargarlo en el navegador, en Chrome en este caso, nos iremos a la extensión y luego al apartado de opciones para poder importar el archivo con la clave.
Le damos clic en Importar claves y luego en seleccionar fichero de texto con la clave a importar; donde seleccionaremos el archivo que habíamos exportado en los pasos anteriores.
Veremos un conjunto de caracteres, que en caso de haber marcado la casilla ASCII armor, no nos saldrá ningún mensaje de error, pero en caso de no haberlo hecho, este fichero no sirve y deberemos exportarlo de nuevo verificando que esta marcada la casilla antes mencionada.
Y listo, con esto ya tenemos exportada la clave, con la que podremos ya cifrar y descifrar nuestro correo.
Ahora podremos en evidencia la utilidad de esa clave, enviando un correo desde Gmail, en este caso, desde el mismo buzón que especifique al momento de crear el certificado con mis datos personales.
Si nos fijamos en el cuerpo del correo ahora aparece un botón que nos llevará a una ventana con las opciones de cifrado que deseamos que tenga nuestro correo.
La apariencia de esta nueva ventana es simple, ya que primero posee un área de texto donde podemos redactar nuestro correo, y una vez hecho esto, usamos el botón de cifrar para usar la clave que hemos importado.
Seleccionamos la clave que importamos y la añadimos para usarla.
Como se puede apreciar, el área donde redactamos nuestro mensaje ahora está cifrado, no podemos apreciar nada del contenido original que residía ahí hace unos momentos.
Pero eso no quiere decir que el mensaje ha sido eliminado, ya que está ahí presente pero esta encriptado.
Una vez enviado el mensaje a su destinatario, lo siguiente es verificar en qué estado llegó el mensaje.
Revisando la máquina con el buzón de destino, apreciamos que el mensaje ha llegado con éxito, pero que, a diferencia de los correos normales, este aparece con un candado, indicando que su contenido está posiblemente bloqueado.
Pero si le damos clic a ese candado para desbloquearlo, nos aparecerá el mensaje de que no poseemos la clave para desbloquear su contenido, ya que a simple vista veos que es un conjunto de caracteres que no dice anda específico, gracias a que está cifrado el contenido del correo.
Por lo que debemos añadir al navegador la extensión de mailvelope en caso de no tenerla, y seguido, importar el archivo con la clave de la misma manera que lo hicimos con la máquina que enviaba el mensaje antes.Para hacerlo en este ejemplo, envíe el archivo con la clave en un correo aparte, para que posterior a su descarga, se lo importe a la extensión.De haberlo hecho de manera correcta, al tratar de desbloquear el contenido del mensaje, ahora nos aparecerá que ingresemos una clave, la que, si nos preguntamos cuál es, es la misma que especificamos en el último paso de la creación del certificado usando gpg4win.
Y listo, al ingresar la clave correcta, nos descifrará el contenido del mensaje, que dando demostrado que, si el receptor del mensaje posee estos dos elementos claves que son: el archivo con la clave secreta del certificado exportado y la contraseña para hacer uso del mismo, podemos realizar un envío de mensajes de correo electrónicos de manera segura, cifrando su contenido ante otros usuarios que tengan acceso a esos buzones ya que, no basta con poseer el archivo exportado sino que también tenga conocimiento de la clave para usarlo, la misma que debemos tener cuidado de por qué medio se la damos a conocer al destinatario, procurando que sea él o ella la única persona con conocimiento de esta información.