Test de intrusion

Seguridad Informática: Test de intrusión Jesús Moreno León j.morenol@gmail.com Septiembre 2010

Estas diapositias son una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios deformación impartidos por Antonio Guzmán y Marta Beltrán © Jesús Moreno León, Septiembre de 2010 Algunos derechos reservados. Este artculo se distribuye bajo la licencia “Reconocimiento-CompartirIgual 3.0 España" de Creative Commons, disponible en http://creativecommons.org/licenses/by-sa/3.0/es/deed.es Este documento (o uno muy similar) esta disponible en (o enlazado desde) http://informatica.gonzalonazareno.org

IntroducciónUna auditoría de seguridad informática es el estudio quecomprende el análisis y gestión de un Sistema Informático paraidentificar, enumerar y, posteriormente, describir las diversasvulnerabilidades que pudieran presentarse en una revisiónexhaustiva de sus estaciones de trabajo, redes decomunicaciones o servidores.El análisis que se realiza desde fuera y sin ninguna credencial sellama auditoría de caja negra, mientras que los que se realizandesde dentro se llaman auditorías de caja blanca.Un test de intrusión (PenTest) es una auditoría de caja negra http://www.isecauditors.com/es/test-intrusion.html http://www.pentest.es/test_intrusion.php

Pero, ¿son necesarias las auditorías de seguridad?

Estructura de un PenTestUn test de intrusión, un método para evaluar la seguridad de unsistema informático simulando un ataque desde una fuentemaliciosa, presenta las siguientes fases:● Recogida de información● Búsqueda de vulnerabilidades● Localización de exploits para esas vulnerabiliades● Parcheo de los sistemas

Recogida de información¿Qué información interesa recoger? ¡TODA!Footprinting: se pretende obtener la huella identificativa, toda lainformación posible de la red, sistema o usuario objetivo delataque.La primera etapa consiste en recuperar información general delobjetivo en los medios públicos: ● Buscadores ● DNS ● ICANN ● Traceroute

DNSPara conocer la informaciónde la empresa suelecomenzarse por consultar alservidor DNS para ver quéservidores tiene registradoscon qué servicios.Normalmente se obtienenlas direcciones IP de losservidores DNS, de losservidores Web, de losservidores de correo y …todo lo que se pueda.

Tracear y posicionarUna vez que se tienen los objetivos iniciales marcados condirecciones IPs lo siguiente es situarlos en la red ygeográficamente, para averiguar cuál es la ubicación física yquiénes son sus proveedores de acceso a Internet. http://www.yougetsignal.com/tools/visual-tracert/

WhoisCuando una empresaregistra un dominio enInternet debe rellenar unaserie de datos en elregistrador que deben estaren una base de datos deinformación que se llamaWhois. La información quese registra en esta base dedatos es pública pordefecto.

Arañas de InternetExiste mucha información que ya han recogido las arañas y queestá disponible para su consulta. Tan sólo hay que saber quépreguntar a los buscadores. Google Hacking Database www.hackersforcharity.org/ghdb/

SpideringLas técnicas de Spidering se utilizan para poder encontrar todala información que se ofrece gratuitamente a través de los sitiosweb de la compañía. Se usan páginas html, ficheros deimágenes, documentos, javascripts, applets, etc…http://www.informatica64.com/foca/

FingerprintingUna vez recogida toda la información que era pública, elsiguiente paso es recoger aquella que también está accesiblepúblicamente pero que a priori no se puede ver. Es decir, setrata de inferir información a partir de pruebas que se vanrealizando a cada uno de los servicios y servidores.

Fingerprinting● Nmap● SuperScan● Netcat

Búsqueda de vulnerabilidadesUna vez que se conocen cuáles son los sistemas operativos,firewalls y/o puertos abiertos y se han descubierto las versionesde software que corren por esos servicios hay que buscarles losproblemas. Pueden utilizarse los expedientes de seguridad yescáneres de vulnerabilidades http://www.securityfocus.com/ http://cve.mitre.org/cve/ http://secunia.com/advisories

Búsqueda de vulnerabilidadesEscáneres devulnerabilidades:● Nessus● GFI LanGuard Network Security Scanner● Shadow Security Scanner● E-eye Retina Introducción a Nessus 4.2: http://www.youtube.com/watch?v=3RgOtjv4v8E

ExploitsCuando se han encontrado los bugs, el objetivo es crear unaherramienta que saque partido de ellos, es decir, que sea capazde hacer uso de esa “funcionalidad no definida del programa”.Para ello, se analizan las posibilidades y alcance de ese bug y seopta por un determinado exploit.Todos los exploits tienen dos partes diferenciadas:● La cabecera, que es lo que se denomina exploit puramente y que depende de cada bug● El cuerpo, denominado payload que son acciones ya programadas que se reutilizan

Metasploit FrameworkMetasploit Framework es unaherramienta que aúna una basede datos de cabeceras de exploitsy de payloads para poder realizarel test en tus servidores.Se usa por profesionales de laseguridad informática pararealizar Pentests, administradoresde sistemas para verificar lainstalación de parches einvestigadores de todo el mundo http://www.metasploit.com/para realizar pruebas.

Metasploit FrameworkEste framework incluyeherramientas, bibliotecas, módulosy una interfaz de usuario. Lafuncionalidad básica es un lanzadorde módulos que permite al usuarioconfigurar un exploit y lanzarlocontra un equipo objetivo. Si elexploit tiene éxito, se ejecuta elpayload en el objetivo y se le facilitaal usuario una shell para interactuarcon el payload. http://www.elladodelmal.com/2010/07/metasploit-con-adobe-flash-player-un.html

Resumen1.Identifica qué quieres auditar utilizando las técnicas de Footprinting y FingerPrinting2.Busca las vulnerabilidades de esos productos utilizando los expedientes de seguridad o los escáneres de vulnerabilidades3.Busca los exploits para esas vulnerabilidades usando metasploit4.Parchea para dejar el sistema corregido tal y como recomiende el fabricante del software en los expedientes de seguridad de la vulnerabilidad.

http://sw-libre.blogspot.com	120
http://sw-libre.blogspot.com.es	20
http://sogisterioto-trabajam.blogspot.com	4
http://static.slidesharecdn.com	1
http://sw-libre.blogspot.mx	1

Test de intrusion

by Jesus Moreno Leon on Dec 15, 2010

Accessibility

Categories

Tags

Upload Details

Usage Rights

5 Embeds 146

Statistics

Test de intrusion — Presentation Transcript