Pentesting
Descargar como PPTX, PDF3 recomendaciones1,948 vistas
Este documento describe las fases de una prueba de penetración, incluyendo la recopilación de información, enumeración, análisis de vulnerabilidades, explotación y documentación. La prueba de penetración simula un ataque para evaluar la seguridad de un sistema y encontrar vulnerabilidades desconocidas mediante pruebas controladas.
Pentesting
- 3. Método para evaluar la seguridad de un sistema o red de sistemas de información simulando el ataque por un intrusoTest de intrusión
- 4. Parte por la necesidad de comprobar cual es el impacto real de una vulnerabilidad mediante la realización de pruebas controladas.Que no se diagnostique una enfermedad no significa que no exista, se busca la detección de vulnerabilidades no conocidas.¿Por qué realizar un Test de intrusión?
- 5. Auditoría de vulnerabilidades:Cuantifica y clasifica vulnerabilidades y recomendacionesEncuentra el 100% de las vulnerabilidades conocidasTest de intrusión:Detecta algunas vulnerabilidades conocidas y algunas desconocidasDescribe y demuestra el impacto asociado a las vulnerabilidades detectadas.Diferencias entre Test de Intrusión y Auditoría de vulnerabilidades
- 6. Ataque: lo que afecta a la Autenticidad, Confidencialidad, Integridad, Disponibilidad, o Auditabilidad (ACIDA)ActivoModifica el sistemaAltera la integridad o disponibilidadEjemplos: explotar una vulnerabilidad, descargar una base de datos.PasivoNo modifica los sistemasIntercepta informaciónAfecta a la confidencialidadEjemplo: escucha de paquetes en la redTipos de ataque
- 7. ExternoEjecutado desde fuera del perímetro de seguridad.Ejemplo: InternetInternoCon más privilegios de acceso en la redEjemplo: empleado, cliente, proveedor, conexión wirelessÁmbitos de pruebas
- 8. ¿Dónde?Capa de aplicaciónAnálisis de visibilidadAuditoría de código fuente (J2EE, C, ASPX, PHP…)Auditoría de aplicaciones web y web servicesAuditoría de Servicios (BBDD, WEB, Correo, etc)Auditoría de sistemas OperativosCapa comunicacionesTestDei ntrus iónAuditoría entornos inalámbricos: WiFi, BT, RFIDAuditoría Accesos remotos: Wardialing, VPNAuditoría Elementos de red: routers, switchesAuditoría Elementos de seguridad: FW, IDS, SEIMCapa físicaIngeniería SocialDumpsterDiving
- 9. Se genera un requerimiento de propuestas (requestforproposal)Proveedores responden con sus ofertasSe acepta una de ellasReunión de arranqueEjecuciónCierre de proyectoAsí nace, así muere
- 10. FasesFase 0.ArranqueProyectoFase I.Test de IntrusiónExternoFase IV. Cierre de Proyecto Fase III. ResultadosFase II.Test de Intrusión InternoGestión ProyectoDb.Recopilación InformaciónA. Reunión ArranqueDa. Recopilación InformaciónH. Informe técnicoJ. Presentación de ResultadosB. Planificación de pruebasK. Reunión de Cierre de ProyectoEb. EnumeraciónEa. EnumeraciónI. Informe EjecutivoFa. AnálisisFb. AnálisisL. Aceptación de hitos y finalización de proyectoC. Reuniones SeguimientoFb.1 InfraestructuraFa.1 InfraestructuraFb.2 Sistema OperativoFa.2 Sistema OperativoFb.3 ServiciosFa.3 ServiciosFb.4 AplicacionesFa.4 AplicacionesGb.Obtención de evidenciasGa.Obtención de evidencias
- 11. Ámbito / AlcanceNivel de informaciónCaja BlancaCaja NegraAutorización de trabajohttp://www.counterhack.net/permission_memo.htmlObjetivos de auditoría¿Ingeniería social?¿Pruebas (exploits) peligrosos?Antes de empezar
- 12. Fases de pruebas
- 13. Fases – DarkSide
- 14. ISECOM OSSTMM 3.0http://www.isecom.org/OWASPhttp://www.owasp.orgNIST SP 800-42 (Security Testing), 800-115http://csrc.nist.govMetodologías
- 15. Fase 1 - Obtención de información.
- 16. Primera fase del test de intrusiónEsencial para elaborar un ataque sofisticado posteriorNo intrusivo, la entidad no debe detectarloRecopilar mayor cantidad de información publica:Introducción
- 17. Objetivo: encontrar nuevos hosts y aplicaciones webIdentificar otros dominios alojados en una misma dirección IP (virtual vost)Se consultan todas las direcciones IP en buscadoresBing.com permite “IP:<ip>”Online:http://www.serversniff.net/hostonip.phphttp://www.myipneighbors.comhttp://www.domaintools.com/reverse-ip/http://whois.webhosting.info/Ejemplo: dominios virtuales
- 20. Fase 2 – Enumeración.
- 21. A veces incluido dentro de fase de obtención de información (activo)Identificar las versiones y los servicios que ofrece cada dirección IPIdentificación de sistemasoperativos, elementos de red, etcétera.Identificación de reglas en firewallsDescartar sistemas que no ofrezcan servicios (IPs sin uso)Enumeración
- 22. Objetivo: descubrir los servicios activosBarrer los 65535 puertos.Uso de distintos protocolosOptimización de tiempoDetección de reglas de firewallEscáner de puertos
- 23. Ejemplo Nmap
- 24. Fase 3 – Análisis de vulnerabilidades.
- 25. Versiones antiguasFalta de parchesErrores de configuraciónConfiguraciones por defectoUsuarios y contraseñas débilesDetección de vulnerabilidades
- 26. Análisis de vulnerabilidadesProceso de detección de vulnerabilidades automáticamente:Banco de pruebas muy elevado.
- 28. Falta de control
- 29. Número elevado de falsos positivos
- 30. Denegación de ServicioTenableNessusOpenVASGFI LanguardSAINTQualysGuardRapid7 NexposeeEye RetinaFoundstonenCircle IP360SkyboxSecuresolutionGideonSecureFusionProductos
- 31. Ejemplo Nessus
- 32. Ejemplo AppScan
- 33. Fase 4 – Explotación.
- 34. Objetivos:Eliminación de falsos positivos.
- 36. Salto a la red interna y/o entre servidores
- 37. Muestra el impacto realPrecauciones:Caída del servicio
- 39. Inestabilidad de los servicios
- 40. Obtención de información confidencialRevisión del alcance y autorización de trabajosIntroducción!
- 41. Código que explota una vulnerabilidad en beneficio del que la ejecutaCategorías:Exploits de servicio - Server sideExploits en el cliente - ClientsideEscalada local de privilegiosFrameworksCódigos independientesExploits
- 43. SqlInjection
- 45. IE + XSS = fun
- 46. Fase 7 – Documentación.
- 47. Resumen ejecutivo y conclusionesIntroducciónMetodologíaProceso de intrusión, vulnerabilidadesCriticidades, recomendaciones, evidenciasApendicesEstructura de informes