Test de penetración

Seguridad en pymes

MICRGema López Muñoz

Test de penetración

Test de penetración

Evaluación de la seguridad de un sistema informático o red mediante la simulación de un ataque.

Metodología reconocida:OSSTMM (Open Source Security Testing Methodology Manual).

Fases

Fase de reconocimiento

Fase de escaneo

Fase de enumeración

Fase de acceso

Fase de mantenimiento

http://www.redusers.com

1. Fase de reconocimiento

Determinar el objetivo y obtener toda la información posible que permita realizar un ataque exitoso.



Objetivo – Recopilación de información

Direcciones IP,Resolución de nombres DNS, …

Técnicas

Búsqueda offline

Búsqueda online


•Ingeniería social•Shoulder

sourfing (en persona)

•Teléfono•Dumpster

diving (basura)

Búsqueda offline

•Google Hacking: www.hackersforcharity.org/ghdb/

•Sitios web con recursos online: Goolag, KartOO

•Recursos online

•Extensiones Firefox

Búsqueda online

Goolag: http://www.asabox.com/goolag/index_en.htm

KartOO (2001- 2010) - http://www.infovis.net/printMag.php?num=97&lang=2

Recursos online

Traceroute.org (www.traceroute.org)Whois.Net (www.whois.net)Maltego (www.paterva.com/maltego)FixedOrbit (www.fixedorbit.com)Robtex (www.robtex.com)Sam Spade (www.samspade.com)

Extensiones Firefox

Firefox

HackBar

AS Number

PassiveRecon

http://www.security-database.com/toolswatch/turning-firefox-to-an-ethical

2. Fase de escaneo

Se utiliza la información obtenida en la fase de reconocimiento con el objetivo de detectar posibles ataques.


Fase de escaneo•Técnica ping sweep: Consiste en enviar paquetes ping por broadcast a los hosts de una red

1. Detección de sistemas vivos o activos

•Escaneo de flags protocolo TCP2. Escaneo de puertos

•Se realiza a partir de las respuestas que el host brinda frente a determinados paquetes.

3. Detección del sistema operativo

•Técnica banner grabbing: Obtener información de la aplicación leyendo los banners predeterminados.

4. Identificación de servicios

•Dependiendo de los servicios que se estén brindando, del SO y de la aplicación involucrada.

5. Escaneo de vulnerabilidades

•Objetivo: anonimato y ocultación de huellas del ataque.6. Planificación del ataque

3. Fase de enumeración

Obtener información relativa a los usuarios, nombres de equipo, recursos y servicios de red.


En las fases anteriores, se obtenía información de la red interna. Ahora se hace del equipo objetivo.

Fase de enumeraciónUtilizaremos técnicas y herramientas diferentes dependiendo del

siste-ma que analicemosSistema Operativo

WindowsUnix/Linux

UsuariosActive DirectoryOpenLDAP

Servidor NISRecursos de red y compartidos

Protocolo NETBIOSSNMP

Aplicacionescomandos simples: telnet, netcat

SuperScanHyena

4. Fase de accesoIngreso al sistema definido como objetivo. No se toma el control del sistema. Se detectan las vulnerabilidades y se proponen soluciones.


El atacante buscará un exploit que le permita explotar la vulnerabilidad y obtener el control.

Fase de accesoOwnear el servidor

Forma manual

Sistema de explotaciónMetasploit Framework

Core Impact

Immunity Canvas

Acceso con mayores privilegiosExploit local que otorgue privilegios de

administrador

Usuario (Ingeniería social)

5. Fase de mantenimiento

Se busca mantener el acceso al equipo mediante la instalación y ejecución de todo tipo de software malicioso.


Fase de mantenimiento

• Software utilizado: troyanos, backdoors, keyloggers, spyware, ...

• Anonimidad en el ataque y ocultar huellas.

1. ¿Gasto o inversión?2. Test de penetración3. Fallos de seguridad + habituales

Referencias

• Test de penetración: http://www.redusers.com• Karen Scarfone,Murugiah Souppaya, Amanda Cody, Angela

Orebaugh, “Technical Guide to Information Security Testing and Assessment”, 2008

• INTECO-CERT, www.inteco.es, Gestión de la seguridad – Catálogo de empresas y soluciones de seguridad TIC, Mayo 2011

• www.isecom.org/osstmm• http://csrc.nist.gov• www.vulnerabilityassessment.co.uk• http://www.elladodelmal.com/2007/02/test-de-intrusion-i-de-

vi.html

Test de penetración

Technology

Transcript of Test de penetración