Professional Documents
Culture Documents
metodologas de
penetracin de
sistemas
Que
Que es una prueba de
penetracin?
De acuerdo con el Instituto SANS (SysAdmin
SysAdmin Audit, Networking and Security
Institute) una prueba de penetracin es::
El proceso de intentar obtener acceso a los recursos sin el conocimiento de
nombres de usuario, contraseas y otros medios normales de acceso. [] Lo
principal que separa a una prueba de penetracin de un atacante es el permiso.
El pentester tendr el permiso del propietario de los recursos informticos que
se estn probando y sern responsable de proporcionar un informe. El objetivo
de una prueba de penetracin es aumentar la seguridad de la computacin
recursos estn probando [1].
Una aproximacin para definir una prueba de penetracin podra ser un mtodo
utilizado para evaluar el nivel de seguridad de una organizacin, donde quien
realiza dicha evaluacin simula ser un atacante real que aplica una diversa
variedad de tcnicas y cuyo objetivo es encontrar vulnerabilidades (conocida o
no) a partir de errores en las configuraciones de los equipos o bien en distintos
procesos o contramedidas, sean estos de ndole tcnica o no
Metodologas
Las metodologas de anlisis funcionan como guas para realizar determinados
objetivos, e implican una serie de mtodos.
mtodos Se dice que un mtodo es el
procedimiento para alcanzar el objetivo y, la metodologa es el estudio en s.
Aplicado este concepto al anlisis de seguridad, se refiere a las distintas maneras
de conseguir los resultados de un testeo de manera organizada y de comn
acuerdo entre distintos profesionales.
NIST-800-42
OSSTMM
ISSAF
OWASP
NIST-800
800-42
Proporciona directrices para la planificacin y realizacin de las pruebas de
seguridad de la informacin y evaluaciones de la seguridad tcnica, anlisis de
los resultados y el desarrollo de la mitigacin estrategias.
Proporciona recomendaciones prcticas para el diseo, implementacin y
mantenimiento tcnico informacin relativa a las pruebas de seguridad y los
procesos y procedimientos de evaluacin, que puede ser utilizado para varios
propsitos, tales como la bsqueda de vulnerabilidades en un sistema o red y
verificar el cumplimiento de una poltica o de otro tipo.
Estas 3 fases definen el trabajo total de un hackeo tico, estas tres fases y las
partes que las componen se pueden observar en la figura 3.
Todos y cada una de las salida de las pruebas realizadas (con exclusin de informes de anlisis de
vulnerabilidad que pueden ser incluidos como documentos adjuntos).
Toda la informacin que se crea y / o son almacenados en los sistemas de prueba deben ser
removido de estos sistemas. Si estos es por alguna razn no fueran posibles remover desde un
sistema remoto, todos estos archivos (con su ubicacin) deben mencionarse en el informe
tcnico para que el cliente y el personal tcnico fuera capaz de eliminar estos despus de que el
informe haya sido recibido.
Pruebas de validacin de
datos
Pruebas de denegacin de
Servicio
Pruebas de Servicios Web
Pruebas de AJAX
Se trata de realizar una medicin del estado de la seguridad en un ambiente operativo, teniendo
en cuenta los controles (medidas de seguridad) en las interacciones y las limitaciones
(debilidades o vulnerabilidades) que stos puedan presentar.
Define el concepto de seguridad operacional como una combinacin entre separacin
y controles, donde la separacin de una amenaza y el activo representan la seguridad total, y
en caso de no poder separar la amenaza del activo, es posible establecer controles para
ofrecer proteccin.
OSSTMM define diez tipos de controles (que abarcan todas las medidas de
proteccin posibles) y tambin propone el anlisis de las limitaciones que pueden encontrarse en
dichos controles. En pocas palabras, la separacin ofrece seguridad total, y en los casos que no
se pueda brindar separacin, se aplican controles para aumentar la proteccin. A su vez, stos
cuentan con limitaciones, que disminuyen dicha proteccin. Cada una de estas caractersticas es
medida de tal forma que se obtiene un valor que indica el estado de la seguridad operacional en
un instante dado.
Identificacin de Servicios
Identificacin del Sistema
Bsqueda de Vulnerabilidades y Verificacin
Testeo de Aplicaciones de Internet
Testeo del Router
Testeo de Sistemas de Confianza
Testeo de Firewall
Testeo de Sistemas de Deteccin de Intrusos
Testeo de Medidas de Contencin
Password Cracking
Testeo de Denegacin de Servicio
Revisin de las Polticas de Seguridad
Fase 1: Regulaciones
Postura de revisin: Identificacin de regulaciones y polticas legislativas que aplican al objetivo.
Logstica: Evaluar la latencia de la red, la locacin del servidor; ya que podra modificar los resultados
del proyecto.
Fase 2: Definiciones
Visibilidad: Una vez que se define el enfoque del proyecto, se procede a definir el alcance en base a la
visibilidad de los equipos.
Verificacin de accesos: Identificacin de puntos de acceso al objetivo.
Verificacin de confianza: Comnmente los sistemas tienen relaciones de confianza con otros
sistemas; este mdulo determina dichas relaciones.
relaciones
Verificacin de controles: Este mdulo mide la capacidad de vulnerar la confidencialidad, integridad,
privacidad y no repudio de un sistema ya que los controles usados no pudieron prevenir el ataque.
Fase 3: Informacin
Verificacin de procesos: El asesor examina que procesos estn colocados para asegurar la
postura de seguridad del sistema; para evaluar la efectividad de dichos procesos.
Verificacin de configuracin: Este mdulo examina los procedimientos por omisin del
negocio y luego se comparan con los requeridos por el negocio.
Validacin de propiedad: Identifica la propiedad intelectual de los objetivos y valida el
licenciamiento de estos.
Revisin de segregacin: Intentos para identificar informacin personal en el sistema; en el
cual la informacin puede ser accedida por usuarios autenticados o no autorizados.
Validacin de informacin expuesta: Identifica que informacin se tiene expuesta desde
internet, referente a los sistemas objetivos.
Bsqueda de informacin competitiva: Identifica la informacin de los competidores que
podra impactar al propietario de los sistemas.
sistemas
Fase 4:
Prueba de controles interactivos
Verificacin de cuarentena: Valida la capacidad del sistema de aislar accesos al sistema de
manera externa y datos de manera interna.
Auditora de privilegios: Examina la capacidad de elevar privilegios en el sistema
Validacin de supervivencia: capacidad del sistema para subsistir a mltiples situaciones
adversas.
Revisin de bitcoras: Revisin de todos los servicios de auditora.
Referencias
[1] Northcutt, S., Shenk, J., Shackleford,, D., Rosenberg, Tim., Siles, R., y Mancini, S.
Penetration Testing: Assessing Your Overall Security Before Attackers Do. SANS Institute.
Recuperado el 1 de Agosto de 2016, del sitio web del Instituto SANS (SysAdmin Audit,
Networking and Security Institute): https://www.sans.org/readinghttps://www.sans.org/reading
room/whitepapers/analyst/penetration-testing
testing-assessing-security-attackers-34635.
NIST 800-42 Guideline on Network Security Testing. Recuperado el 1 de febrero de
2016, del sitio de NIST (National Institute of Standards and Technology):
http://csrc.nist.gov/publications/nistpubs/800
csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Gua de pruebas de OWASP. Recuperado el 2 de febrero de 2016, del sitio de OWASP:
https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.p
://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.p
df