Test de penetración
Upcoming SlideShare
Loading in...5
×
 

Test de penetración

on

  • 2,401 views

 

Statistics

Views

Total Views
2,401
Views on SlideShare
2,400
Embed Views
1

Actions

Likes
0
Downloads
73
Comments
0

1 Embed 1

http://twitter.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Test de penetración Test de penetración Presentation Transcript

  • Seguridad en pymes
    MICR
    Gema López Muñoz
  • Test de penetración
  • Evaluación de la seguridad de un sistema informático o red mediante la simulación de un ataque.
    Test de penetración
    Metodología reconocida:
    OSSTMM (Open Source Security TestingMethodology Manual).
  • Fases
    http://www.redusers.com
  • 1. Fase de reconocimiento
    Determinar el objetivo y obtener toda la información posible que permita realizar un ataque exitoso.
    http://www.redusers.com
  • Fase de reconocimiento
  • Fase de reconocimiento
  • Goolag: http://www.asabox.com/goolag/index_en.htm
  • KartOO (2001- 2010) - http://www.infovis.net/printMag.php?num=97&lang=2
  • Recursos online
    Traceroute.org (www.traceroute.org)
    Whois.Net (www.whois.net)
    Maltego (www.paterva.com/maltego)
    FixedOrbit (www.fixedorbit.com)
    Robtex (www.robtex.com)
    Sam Spade (www.samspade.com)
  • Extensiones Firefox
    http://www.security-database.com/toolswatch/turning-firefox-to-an-ethical
  • 2. Fase de escaneo
    Se utiliza la información obtenida en la fase de reconocimiento con el objetivo de detectar posibles ataques.
    http://www.redusers.com
  • Fase de escaneo
  • Obtener información relativa a los usuarios, nombres de equipo, recursos y servicios de red.
    3. Fase de enumeración
    En las fases anteriores, se obtenía información de la red interna. Ahora se hace del equipo objetivo.
    http://www.redusers.com
  • Fase de enumeración
  • Ingreso al sistema definido como objetivo. No se toma el control del sistema. Se detectan las vulnerabilidades y se proponen soluciones.
    4. Fase de acceso
    El atacante buscará un exploit que le permita explotar la vulnerabilidad y obtener el control.
    http://www.redusers.com
  • Fase de acceso
  • 5. Fase de mantenimiento
    Se busca mantener el acceso al equipo mediante la instalación y ejecución de todo tipo de software malicioso.
    http://www.redusers.com
  • Fase de mantenimiento
    Software utilizado: troyanos, backdoors, keyloggers, spyware, ...
    Anonimidad en el ataque y ocultar huellas.
  • ¿Gasto o inversión?
    Test de penetración
    Fallos de seguridad + habituales
  • Referencias
    Test de penetración: http://www.redusers.com
    Karen Scarfone,Murugiah Souppaya, Amanda Cody, Angela Orebaugh, “TechnicalGuide to Information Security Testing and Assessment”, 2008
    INTECO-CERT, www.inteco.es, Gestión de la seguridad – Catálogo de empresas y soluciones de seguridad TIC, Mayo 2011
    www.isecom.org/osstmm
    http://csrc.nist.gov
    www.vulnerabilityassessment.co.uk
    http://www.elladodelmal.com/2007/02/test-de-intrusion-i-de-vi.html