• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Test de intrusion
 

Test de intrusion

on

  • 3,790 views

Descripción de los pasos necesarios para llevar a cabo un test de intrusión

Descripción de los pasos necesarios para llevar a cabo un test de intrusión

Statistics

Views

Total Views
3,790
Views on SlideShare
3,537
Embed Views
253

Actions

Likes
1
Downloads
124
Comments
0

7 Embeds 253

http://sw-libre.blogspot.com 144
http://sw-libre.blogspot.com.es 95
http://sw-libre.blogspot.mx 6
http://sogisterioto-trabajam.blogspot.com 4
http://sw-libre.blogspot.com.ar 2
http://static.slidesharecdn.com 1
http://sw-libre.blogspot.com.br 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Test de intrusion Test de intrusion Presentation Transcript

    • Seguridad Informática: Test de intrusión Jesús Moreno León j.morenol@gmail.com Septiembre 2010
    • Estas diapositias son una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios deformación impartidos por Antonio Guzmán y Marta Beltrán © Jesús Moreno León, Septiembre de 2010 Algunos derechos reservados. Este artculo se distribuye bajo la licencia “Reconocimiento-CompartirIgual 3.0 España" de Creative Commons, disponible en http://creativecommons.org/licenses/by-sa/3.0/es/deed.es Este documento (o uno muy similar) esta disponible en (o enlazado desde) http://informatica.gonzalonazareno.org
    • IntroducciónUna auditoría de seguridad informática es el estudio quecomprende el análisis y gestión de un Sistema Informático paraidentificar, enumerar y, posteriormente, describir las diversasvulnerabilidades que pudieran presentarse en una revisiónexhaustiva de sus estaciones de trabajo, redes decomunicaciones o servidores.El análisis que se realiza desde fuera y sin ninguna credencial sellama auditoría de caja negra, mientras que los que se realizandesde dentro se llaman auditorías de caja blanca.Un test de intrusión (PenTest) es una auditoría de caja negra http://www.isecauditors.com/es/test-intrusion.html http://www.pentest.es/test_intrusion.php
    • Pero, ¿son necesarias las auditorías de seguridad?
    • Pero, ¿son necesarias las auditorías de seguridad?
    • Pero, ¿son necesarias las auditorías de seguridad?
    • Pero, ¿son necesarias las auditorías de seguridad?
    • Pero, ¿son necesarias las auditorías de seguridad?
    • Estructura de un PenTestUn test de intrusión, un método para evaluar la seguridad de unsistema informático simulando un ataque desde una fuentemaliciosa, presenta las siguientes fases:● Recogida de información● Búsqueda de vulnerabilidades● Localización de exploits para esas vulnerabiliades● Parcheo de los sistemas
    • Recogida de información¿Qué información interesa recoger? ¡TODA!Footprinting: se pretende obtener la huella identificativa, toda lainformación posible de la red, sistema o usuario objetivo delataque.La primera etapa consiste en recuperar información general delobjetivo en los medios públicos: ● Buscadores ● DNS ● ICANN ● Traceroute
    • DNSPara conocer la informaciónde la empresa suelecomenzarse por consultar alservidor DNS para ver quéservidores tiene registradoscon qué servicios.Normalmente se obtienenlas direcciones IP de losservidores DNS, de losservidores Web, de losservidores de correo y …todo lo que se pueda.
    • Tracear y posicionarUna vez que se tienen los objetivos iniciales marcados condirecciones IPs lo siguiente es situarlos en la red ygeográficamente, para averiguar cuál es la ubicación física yquiénes son sus proveedores de acceso a Internet. http://www.yougetsignal.com/tools/visual-tracert/
    • WhoisCuando una empresaregistra un dominio enInternet debe rellenar unaserie de datos en elregistrador que deben estaren una base de datos deinformación que se llamaWhois. La información quese registra en esta base dedatos es pública pordefecto.
    • Arañas de InternetExiste mucha información que ya han recogido las arañas y queestá disponible para su consulta. Tan sólo hay que saber quépreguntar a los buscadores. Google Hacking Database www.hackersforcharity.org/ghdb/
    • SpideringLas técnicas de Spidering se utilizan para poder encontrar todala información que se ofrece gratuitamente a través de los sitiosweb de la compañía. Se usan páginas html, ficheros deimágenes, documentos, javascripts, applets, etc…http://www.informatica64.com/foca/
    • FingerprintingUna vez recogida toda la información que era pública, elsiguiente paso es recoger aquella que también está accesiblepúblicamente pero que a priori no se puede ver. Es decir, setrata de inferir información a partir de pruebas que se vanrealizando a cada uno de los servicios y servidores.
    • Fingerprinting● Nmap● SuperScan● Netcat
    • Búsqueda de vulnerabilidadesUna vez que se conocen cuáles son los sistemas operativos,firewalls y/o puertos abiertos y se han descubierto las versionesde software que corren por esos servicios hay que buscarles losproblemas. Pueden utilizarse los expedientes de seguridad yescáneres de vulnerabilidades http://www.securityfocus.com/ http://cve.mitre.org/cve/ http://secunia.com/advisories
    • Búsqueda de vulnerabilidadesEscáneres devulnerabilidades:● Nessus● GFI LanGuard Network Security Scanner● Shadow Security Scanner● E-eye Retina Introducción a Nessus 4.2: http://www.youtube.com/watch?v=3RgOtjv4v8E
    • ExploitsCuando se han encontrado los bugs, el objetivo es crear unaherramienta que saque partido de ellos, es decir, que sea capazde hacer uso de esa “funcionalidad no definida del programa”.Para ello, se analizan las posibilidades y alcance de ese bug y seopta por un determinado exploit.Todos los exploits tienen dos partes diferenciadas:● La cabecera, que es lo que se denomina exploit puramente y que depende de cada bug● El cuerpo, denominado payload que son acciones ya programadas que se reutilizan
    • Metasploit FrameworkMetasploit Framework es unaherramienta que aúna una basede datos de cabeceras de exploitsy de payloads para poder realizarel test en tus servidores.Se usa por profesionales de laseguridad informática pararealizar Pentests, administradoresde sistemas para verificar lainstalación de parches einvestigadores de todo el mundo http://www.metasploit.com/para realizar pruebas.
    • Metasploit FrameworkEste framework incluyeherramientas, bibliotecas, módulosy una interfaz de usuario. Lafuncionalidad básica es un lanzadorde módulos que permite al usuarioconfigurar un exploit y lanzarlocontra un equipo objetivo. Si elexploit tiene éxito, se ejecuta elpayload en el objetivo y se le facilitaal usuario una shell para interactuarcon el payload. http://www.elladodelmal.com/2010/07/metasploit-con-adobe-flash-player-un.html
    • Resumen1.Identifica qué quieres auditar utilizando las técnicas de Footprinting y FingerPrinting2.Busca las vulnerabilidades de esos productos utilizando los expedientes de seguridad o los escáneres de vulnerabilidades3.Busca los exploits para esas vulnerabilidades usando metasploit4.Parchea para dejar el sistema corregido tal y como recomiende el fabricante del software en los expedientes de seguridad de la vulnerabilidad.