Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI

Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
Gua de Actividades
Fase III: Construccin - Laboratorio 2 Prueba de vulnerabilidades

Contexto de la estrategia de aprendizaje a desarrollar en el curso: Hacer un reconocimiento de los temas de

la unidad 2, para desarrollar una actividad prctica en forma individual que permita aplicar los conceptos aprendidos
en la solucin de un problema real. Conceptos de virtualizacin, seguridad y sistemas operativos, prevencin de
ataques, seguridad fsica y lgica de un sistema, controles, auditoria de sistemas, pruebas de penetracin.
Temticas a desarrollar: Unidad 1 - Fundamentos de Seguridad en Sistemas Operativos
Nmero de Fecha: 17 de mayo al 26 Momento de evaluacin: Entorno: Aprendizaje
semanas: 6 (Seis) de junio de 2017 Evaluacin Intermedia prctico
Fase de la estrategia de aprendizaje: Fase III - Construccin
Productos
Productos acadmicos y Actividad acadmicos y
Actividad individual ponderacin de la actividad colaborati ponderacin de
individual va* la actividad
colaborativa
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
Introduccin Forma de trabajo: INDIVIDUAL
La seguridad de los sistemas operativos es una N/A N/A
de las caractersticas deseadas ms Sistema de Evaluacin:
importantes dentro del entorno de la seguridad La prctica se evala por medio del
de los sistemas informticos en los que hoy en informe escrito de la actividad con la
da se capturan, procesa y almacena la respectiva presentacin de las
informacin de las compaas del mundo conclusiones de la actividad, y los
moderno, por ello la implementacin de las print screen que evidencien la
caractersticas de seguridad nativas dentro de realizacin del pent test y la
un sistema operativo es una variable muy explotacin de las vulnerabilidades
importante para reforzar las diferentes capas opcional el informe escrito deber
de seguridad con las que se debe proteger la ser publicado en el entorno de
informacin evaluacin y seguimiento Unidad 2:
Entrega Fase III - Laboratorio 2,
Objetivo dando respuesta a lo solicitado en
Realizar la apropiacin de los conceptos bsicos esta gua.
de seguridad del sistema operativo,
documentarse y entender cmo funcionan
estos principios y ponerlos en prctica para
conseguir los objetivos deseados adems de
comprender los procesos y conceptos de Aspectos a tener en cuenta en el
virtualizacin y herramientas de anlisis de informe:
vulnerabilidades. Un informe (Normas APA) y en
formato PDF sobre la realizacin de la
Objetivo de la prctica prctica donde se sustente de forma
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
Realizar sobre un sistema operativo un anlisis tcnica y acertada los procedimientos
de seguridad con el objetivo de poder realizar realizados para desarrollar las
las pruebas con algunas herramientas de pent actividades propuestas en la prctica.
test y encontrar las posibles vulnerabilidades y (Print Screen de los pasos
realizar su explotacin, a travs de un ejecutados) y claramente
ambiente controlado. justificados. Incluya los siguientes
apartados:
Descripcin de la prctica
El estudiante de carcter individual instalara - Portada
una versin de Linux Metasploitable el cual - Introduccin
podrn descargar de: - Objetivos
https://sourceforge.net/projects/metasploitabl - Desarrollo de la actividad
e/files/Metasploitable2/ ; Una vez instalado el incluyendo Print Screen de los
S.O metasploitable se deber instalar Kali Linux procesos
para lanzar el anlisis pertinente a la maquina - Conclusiones
con S.O metasploitable, la imagen o .ISO de - Bibliografa
Kali Linux la podrn descargar en el siguiente
enlace: https://www.kali.org/downloads/ . Dentro del apartado de desarrollo de
Deben tener en cuenta si la BIOS de sus la actividad debe incluir:
computadoras principales o anfitrionas pueden - Un diagrama de la topologa
virtualizar a 32bits o 64bits para no tener construida para esta prctica
problema alguno a la hora de virtualizar, anexo usando un software de dibujo como
a ello si las computadoras que van a utilizar Visio, Da o cualquiera de su
como anfitriona tiene un S.O a 64 bits muy preferencia, en donde se
seguramente podrn virtualizar la versin de documenten las IPs utilizadas Kali
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
64 bits de Kali, esta informacin se debe Linux y Metasploitable, donde se
validar. vean representados los servicios
activos de cada mquina
Para el desarrollo del laboratorio el estudiante virtualizada.
deber tener en cuenta los siguientes
programas y mtodos que le ayudarn a llevar - Print Screen de los resultados
a cabo lo propuesto en esta actividad: llevados a cabo con el anlisis de
Nmap desde el S.O Kali Linux haca
1. Software de virtualizacin como el metasploitable, es preciso tener
VirtualBox, VirtualPC, VMWare Player, en cuenta cmo identificar el S.O de
OpenVZ o el de su preferencia la mquina vctima metasploitable
2. Si su computadora anfitrin o base es de por medio de Nmap al igual que los
bajos recursos hardware deber contar con servicios y puertos que estn en
un segundo PC o Porttil dedicado para esta escucha y activos para poder
prctica, para que no virtualicen dos planear el ataque.
mquinas en un solo PC. Este computador
extra deber tener S.O Linux para trabajar - Documentacin paso a paso junto
con las herramientas solicitadas como con Print Screen de las pruebas de
Openvass, nessus, Nmap y las dems a las pent test realizadas por medio de
que se integren con la actividad. Nessus, Openvass u otro
analizador.
Las pruebas de Pent Test se puede realizar
desde la mquina que hace las veces de - Documentacin sobre la bsqueda
anfitrin o en una segunda mquina virtual (en de informacin acerca de las
el caso de usar la opcin uno virtualizacin vulnerabilidades encontradas por
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
que es la ms recomendada, para la otra opcin medio de nessus, Openvass u otro
ser necesario realizar las pruebas con otro analizador, un ejemplo claro es
equipo conectado al servidor de Linux de utilizar el CVE Common
pruebas, configurando una pequea red que Vulnerabilities and Exposures el
permita realizar las verificaciones de los cual contribuye a buscar
servicios), se sugiere la utilizacin de Kali Linux informacin de las vulnerabilidades
para la realizacin de las pruebas de Pent Test, que encuentran con los
en cualquiera de los casos el 100% de las analizadores, cada vulnerabilidad
pruebas de pent test y la explotacin de las tiene un ID asociado y es la pista
mismas se debe realizar con herramientas de para que busquen si dicha
Open Source vulnerabilidad tiene algn Exploit el
cual contribuya a explotar el fallo de
seguridad. La pgina web del CVE
es: https://cve.mitre.org/
Recursos a utilizar en la prctica (Equipos
/ instrumentos): - Este punto es opcional y se tendr
Computador (Desktop Laptop) Software a en cuenta para aquellos estudiantes
utilizar en la prctica u otro tipo de que deseen documentar y proceder
requerimiento para el desarrollo de la prctica
a explotar fallos de seguridad
Programa de virtualizacin (VirtualBox, encontrados con los analizadores y
VirtualPC, VMWare Player, OpenVZ o el de su haciendo uso de informacin extra
preferencia) como la de Nmap y el CVE. Una vez
exploten la vulnerabilidad debern
ISO de Sistema Operativo Kali Linux capturar printscreen del proceso y
https://www.kali.org/downloads/ documentar paso a paso.
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
Linux Metasploitable
https://sourceforge.net/projects/metasploitabl
e/files/Metasploitable2/ Valoracin de la actividad.
75 Puntos (Laboratorio 2)
Procedimiento
El estudiante deber realizar las siguientes
actividades de alto nivel como procedimiento
para realizar la prctica de laboratorio: Fuentes Documentales que
apoyan el desarrollo de la
1. Instalacin del software de virtualizacin actividad.
(VirtualBox, VirtualPC, VMWare Player,
OpenVZ o el de su preferencia) Ubuntu Disponible en
2. Instalacin de Linux Metasploitable. http://www.ubuntu.com/
3. Alistamiento de la segunda mquina
virtual desde la cual se realizarn las pruebas
de Pent Test y explotacin de las Centos Disponible en
vulnerabilidades asociadas a los servicios http://www.centos.org/
seleccionados que ser con la versin de Kali
Linux. Suse Disponible en
4. Configuracin de los analizadores como https://www.suse.com/
Nessus, Openvass u otro analizador de
vulnerabilidades, este proceso se lleva a Kali Linux Disponible en
cabo en la mquina que contiene Kali Linux. https://www.kali.org/
5. Realizar el ejercicio de pent test y de
explotacin de las vulnerabilidades
Metasploit Pent Test Tool
documentando para el informe final las
evidencias. http://www.metasploit.com/
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
En el grafico se representa la maquina fsica y Centos Howtos
en ella las dos mquinas virtuales, una con Kali http://wiki.centos.org/HowTos
Linux donde deben quedar configurados los
analizadores y la mquina virtual con Linux Ubuntu Help and Information
Metasploitable la cual recibir los ataques.
http://community.ubuntu.com/help-
information/

Instalar Centos en VirtualBox

https://www.youtube.com/watch?v=
Eb-FetgKB6k

Instalar Ubuntu Server en VirtualBox

https://www.youtube.com/watch?v=
TjpgMZ-Ff7M

Instalar Suse en VirtualBox

https://es.opensuse.org/VirtualBox
Nota: Recuerde que copiar y pegar sin
Nmap https://nmap.org/=
referenciar los autores es plagio en la UNAD,
reglamento general estudiantil, Artculo 100.
CVE https://cve.mitre.org/
No se acepta ms de 10% de copy-paste con
citas, esto ser analizado por medio de
Turnitin.
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
*Lineamientos para el desarrollo del trabajo colaborativo
Roles y responsabilidades
Planeacin de actividades para el Roles a desarrollar por el estudiante para la produccin de
desarrollo del trabajo colaborativo dentro del grupo colaborativo entregables por los
estudiantes
N/A N/A N/A
Recomendaciones por el docente:
En toda participacin se debe hacer uso de la Netiqueta, cada estudiante debe tener en cuenta las indicaciones dadas
en la gua para alcanzar las metas propuestas en su formacin. Antes de iniciar el trabajo de la prctica individual, el
estudiante debe haber efectuado una profundizacin de la temtica de cada unidad, teniendo en cuenta las situaciones
planteadas en las guas de cada trabajo.

Resolucin 6808 de agosto 19 de 2014.

No se aceptan aportes tres das antes del cierre de la actividad colaborativa, esto est estipulado en la resolucin
6808 de agosto 19 de 2014, articulo 19, numeral 3.

Herramientas de apoyo:
El estudiante dispone de los contenidos indicados en las guas para realizar las actividades, que puede consultar y
descargar en el entorno de conocimiento. A su vez puede consultar otras fuentes registradas en el syllabus, como
tambin los documentos o pginas que considere pertinentes relacionados con la temtica. En cualquier caso, debe
registrar en el trabajo las referencias bibliogrficas aplicando normas APA.

Realizar constante revisin de los entornos del curso.

Realiza todos los pasos propuestos y fases, relacionando el aprendizaje con lo prctico.
Realizar solicitud de revisin de resultados del proceso evaluativo (calificaciones) tres das despus de la publicacin
de su calificacin.
Los estudiantes con necesidades especiales, podrn tener acceso a herramientas tecnolgicas que facilitan el
proceso de aprendizaje, las cuales se encuentran en la caja de herramientas ubicada en el Entorno de Conocimiento.
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007
Actualizar el perfil con sus datos personales y una foto de rostro actual, claro, a color y legible.
Participar activamente y en forma oportuna en el Foro General del Curso.
Si el espacio del aula virtual no es suficiente podr hacer uso de las diversas herramientas tecnolgicas como google
drive, Dropbox.
Analiza e interpreta la agenda del curso, con el fin de evitar atrasos en el proceso de aprendizaje, siendo consciente
que las actividades no se pueden habilitar por solicitud expresa del estudiante sin una debida excusa que soporte
su ausencia.
El curso de Seguridad en Sistemas Operativos, es un curso metodolgico y no habilitable.
Sern anulados parcial o totalmente los trabajos cuyo contenido sea igual a trabajos ya publicados o desarrollados
por diferentes estudiante o grupos del curso.

Al finalizar cada unidad, el estudiante deber realizar las siguientes acciones bsicas, que encontrar en el Entorno
de Evaluacin y Seguimiento:

Elaboracin de una autoevaluacin.

De manera individual, el estudiante elaborar un Plan de Mejora en el E-portafolio, basado en el resultado obtenido
en la autoevaluacin. La Heteroevaluacin de las actividades presentadas ser reportada en el Entorno de Evaluacin
y Seguimiento.

Uso de la norma APA, versin 3 en espaol (Traduccin de la versin 6 en ingls)

Las Normas APA es el estilo de organizacin y presentacin de informacin ms usado en el rea de las ciencias
sociales. Estas se encuentran publicadas bajo un Manual que permite tener al alcance las formas en que se debe
presentar un artculo cientfico. Aqu podrs encontrar los aspectos ms relevantes de la sexta edicin del Manual
de las Normas APA, como referencias, citas, elaboracin y presentacin de tablas y figuras, encabezados y
seriacin, entre otros. Puede consultar como implementarlas ingresando a la pgina http://normasapa.com/
Polticas de plagio: Qu es el plagio para la UNAD? El plagio est definido por el diccionario de la Real
Academia como la accin de "copiar en lo sustancial obras ajenas, dndolas como propias". Por tanto el plagio es
una falta grave: es el equivalente en el mbito acadmico, al robo. Un estudiante que plagia no se toma su
educacin en serio, y no respeta el trabajo intelectual ajeno.
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007

No existe plagio pequeo. Si un estudiante hace uso de cualquier porcin del trabajo de otra persona, y no
documenta su fuente, est cometiendo un acto de plagio. Ahora, es evidente que todos contamos con las ideas de
otros a la hora de presentar las nuestras, y que nuestro conocimiento se basa en el conocimiento de los dems.
Pero cuando nos apoyamos en el trabajo de otros, la honestidad acadmica requiere que anunciemos
explcitamente el hecho que estamos usando una fuente externa, ya sea por medio de una cita o por medio de un
parfrasis anotado (estos trminos sern definidos ms adelante). Cuando hacemos una cita o un parfrasis,
identificamos claramente nuestra fuente, no slo para dar reconocimiento a su autor, sino para que el lector pueda
referirse al original si as lo desea.

Existen circunstancias acadmicas en las cuales, excepcionalmente, no es aceptable citar o parafrasear el trabajo
de otros. Por ejemplo, si un docente asigna a sus estudiantes una tarea en la cual se pide claramente que los
estudiantes respondan utilizando sus ideas y palabras exclusivamente, en ese caso el estudiante no deber apelar a
fuentes externas an, si stas estuvieran referenciadas adecuadamente.
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

SEGURIDAD EN SISTEMAS OPERATIVO - 233007
RBRICA DE EVALUACIN LABORATORIO 2 - FASE III CONSTRUCCIN
Criterios de desempeo de la actividad individual
Aspectos
Valoracin alta Valoracin media Valoracin baja Puntaje
evaluados
El informe de laboratorio contiene El informe de laboratorio El documento presentado por el
una estructura en normas APA contiene una estructura en estudiante carece de la estructura
Estructura para mayor facilidad de normas APA, pero carece solicitada en normas APA adems
del informe elaboracin a su vez cuenta con: de los siguientes que no contiene ms de 2
y portada, introduccin, objetivos, elementos: portada, elementos solicitados en la gua 20
participacin desarrollo de la actividad introduccin. como: Introduccin, objetivos,
individual. conclusiones y bibliografas. portada, conclusiones y/o
bibliografas.
(Hasta 20 puntos) (Hasta 12 puntos) (Hasta 4 puntos)
El documento presentado por el El documento presentado El documento presentado tiene
estudiante tiene una ortografa contiene un nico error de ms de 3 problemas de ortografa
coherente y la redaccin es ortografa y en alguna y/o redaccin lo cual no debera
Redaccin y correcta dando respuesta a lo parte del documento no suceder ya que se cuenta con
10
ortografa solicitado en esta actividad de existe una buena correctores de ortografa y est a
laboratorio 2 correspondiente a la redaccin. nivel de posgrado.
fase III.
(Hasta 10 puntos) (Hasta 6 puntos) (Hasta 2 puntos)
 Universidad Nacional Abierta y a Distancia UNAD - Vicerrectora Acadmica y de Investigacin - VIACI
Escuela: Escuela de Ciencias Bsicas, Tecnologa e Ingeniera. Programa: Especializacin en Seguridad informtica
Curso: Seguridad en Sistemas Operativos Cdigo: 233007

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

SEGURIDAD EN SISTEMAS OPERATIVO - 233007
RBRICA DE EVALUACIN LABORATORIO 2 - FASE III CONSTRUCCIN
Criterios de desempeo de la actividad individual
Aspectos
Valoracin alta Valoracin media Valoracin baja Puntaje
evaluados
El informe individual contiene El informe individual no El informe individual no contiene
todos elementos solicitados y da contiene la configuracin los elementos solicitados en la
respuesta a la totalidad de los de algn sistema de gua integrada de actividades.
puntos planteados en la gua deteccin de * Se comprob plagio copy-
integrada de actividades. El vulnerabilidades. El paste, tiene ms de un 15%
Fines del estudiante configura y hace uso estudiante slo identifica la copy-paste, slo se permite el
45
laboratorio 1 de los identificadores de vulnerabilidad por medio 10% de copy-paste con citas.
vulnerabilidades como: nessus, de puertos.
openvas. Hace uso de Nmap y
dems herramientas solicitadas
en la gua.
(Hasta45 puntos) (Hasta 30 puntos) (Hasta 10 puntos)
Calificacin final laboratorio 1 75