Test de penetración

2,294 views
2,155 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,294
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
83
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Test de penetración

  1. 1. Seguridad en pymes<br />MICR<br />Gema López Muñoz<br />
  2. 2. Test de penetración<br />
  3. 3.
  4. 4. Evaluación de la seguridad de un sistema informático o red mediante la simulación de un ataque.<br />Test de penetración<br />Metodología reconocida:<br />OSSTMM (Open Source Security TestingMethodology Manual).<br />
  5. 5. Fases<br />http://www.redusers.com<br />
  6. 6. 1. Fase de reconocimiento<br />Determinar el objetivo y obtener toda la información posible que permita realizar un ataque exitoso.<br />http://www.redusers.com<br />
  7. 7. Fase de reconocimiento<br />
  8. 8. Fase de reconocimiento<br />
  9. 9. Goolag: http://www.asabox.com/goolag/index_en.htm<br />
  10. 10. KartOO (2001- 2010) - http://www.infovis.net/printMag.php?num=97&lang=2 <br />
  11. 11. Recursos online<br />Traceroute.org (www.traceroute.org)<br />Whois.Net (www.whois.net)<br />Maltego (www.paterva.com/maltego)<br />FixedOrbit (www.fixedorbit.com)<br />Robtex (www.robtex.com)<br />Sam Spade (www.samspade.com)<br />
  12. 12. Extensiones Firefox<br />http://www.security-database.com/toolswatch/turning-firefox-to-an-ethical<br />
  13. 13. 2. Fase de escaneo<br />Se utiliza la información obtenida en la fase de reconocimiento con el objetivo de detectar posibles ataques.<br />http://www.redusers.com<br />
  14. 14. Fase de escaneo<br />
  15. 15. Obtener información relativa a los usuarios, nombres de equipo, recursos y servicios de red.<br />3. Fase de enumeración<br />En las fases anteriores, se obtenía información de la red interna. Ahora se hace del equipo objetivo.<br />http://www.redusers.com<br />
  16. 16. Fase de enumeración<br />
  17. 17. Ingreso al sistema definido como objetivo. No se toma el control del sistema. Se detectan las vulnerabilidades y se proponen soluciones.<br />4. Fase de acceso<br />El atacante buscará un exploit que le permita explotar la vulnerabilidad y obtener el control.<br />http://www.redusers.com<br />
  18. 18. Fase de acceso<br />
  19. 19. 5. Fase de mantenimiento<br />Se busca mantener el acceso al equipo mediante la instalación y ejecución de todo tipo de software malicioso.<br />http://www.redusers.com<br />
  20. 20. Fase de mantenimiento<br />Software utilizado: troyanos, backdoors, keyloggers, spyware, ...<br />Anonimidad en el ataque y ocultar huellas.<br />
  21. 21. ¿Gasto o inversión?<br />Test de penetración<br />Fallos de seguridad + habituales<br />
  22. 22. Referencias<br />Test de penetración: http://www.redusers.com<br />Karen Scarfone,Murugiah Souppaya, Amanda Cody, Angela Orebaugh, “TechnicalGuide to Information Security Testing and Assessment”, 2008<br />INTECO-CERT, www.inteco.es, Gestión de la seguridad – Catálogo de empresas y soluciones de seguridad TIC, Mayo 2011<br />www.isecom.org/osstmm<br />http://csrc.nist.gov<br />www.vulnerabilityassessment.co.uk<br />http://www.elladodelmal.com/2007/02/test-de-intrusion-i-de-vi.html<br />

×