Introducción Al Pentesting _ ITechNode
Transcript of Introducción Al Pentesting _ ITechNode
18/5/2014 Introducción al Pentesting | ITechNode
http://itechnode.com/introduccion-al-pentesting 1/5
Luis David | 6 mayo, 2014 | Seguridad, TODO | No hay comentarios
INTRODUCCIÓN ALPENTESTING
Como administrador de Sistemas una de nuestras
responsabilidades y la mas importante es mantener la seguridad
de nuestra plataforma lo menos vulnerable posible y para esto es
importante que constantemente pongamos a prueba los métodos
de seguridad que tenemos implementado y ademas podamos
detectar cualquier vulnerabilidad que exista antes de que esta
sea aprovechado por un malintencionado.
Y es aqui donde entra el test de penetración, conocida como
pentest, que es el método de evaluar la seguridad de los equipos
y las redes de comunicación simulando un ataque informático a
REALIZA TUBUSQUEDA
Search the site
"Si tu tienes una manzana y yo otra y decidimos intercambiarlas, seguiremos teniendo una manzana cada uno,
pero si tu tienes una idea y yo otra y la intercambiamos, ambos tendremos dos ideas"
INICIO NOTICIAS CIVIL DISEÑO PROGRAMACIÓN ▼ SEO
SEGURIDAD ▼ SO DESKTOP ▼ SO MOVIL ▼ CONTACTANOS
NOW TRENDING: 20 GALERIAS INTERESANTES... 6 MEDIDAS QUE DEBES PONE...
CARACTERISTICAS DE UNA P... 20 TIPS PARA SER UN BUE...
18/5/2014 Introducción al Pentesting | ITechNode
http://itechnode.com/introduccion-al-pentesting 2/5
un servidor o red desde una fuente externa o interna. El proceso
consiste en un análisis activo de todos los equipos de la red para
detectar cualquier vulnerabilidad de seguridad por una falla en la
configuración de los servidores o los equipos de seguridad.
¿Qué es un Penetration Test?
Un test de penetración consiste en pruebas ofensivas contra
los mecanismos de defensa existentes en el entorno que se
está analizando. Estas pruebas comprenden desde el análisis de
dispositivos físicos y digitales, hasta el análisis del factor
humano utilizando Ingeniería Social. El objetivo de estas
pruebas es verificar bajo situaciones extremas cuál es el
comportamiento de los mecanismos de defensa,
específicamente, se busca detectar vulnerabilidades en los
mismos. Además, se identifican aquellas faltas de controles y
las brechas que pueden existir entre la información crítica y los
controles existentes.
¿Por qué es necesario realizar un Penetration Test?
Existen muchos casos donde las organizaciones sufren incidentes
que podrían haberse evitado si los mecanismos de protección
hubieran sido reforzados en su momento. Los incidentes
comprenden sucesos tales como fuga de información, accesos no
autorizados, pérdida de datos, entre muchos otros. El análisis de
los mecanismos de protección debe ser una tarea proactiva
permitiendo al pentester (persona que lleva adelante la auditoría)
encontrar las vulnerabilidades dentro de los mismos y brindar
una solución antes de que un ciberdelincuente aproveche esta
debilidad.
18/5/2014 Introducción al Pentesting | ITechNode
http://itechnode.com/introduccion-al-pentesting 3/5
¿Qué actividades comprende un Penetration Test?
Un Penetration Test comprende múltiples etapas con diferentes
tipos de actividades en distintos ámbitos y entornos. La
profundidad con que se lleven a cabo las actividades dependerá
de ciertos factores, entre los que se destaca el riesgo que
puede generar hacia el cliente alguno de los métodos que se
apliquen durante la evaluación.
Se establece un previo acuerdo con el cliente para llevar a cabo
las diferentes fases del análisis, que se describen a continuación:
Fase de reconocimiento: Posiblemente, esta sea una de las
etapas que más tiempo demande. Asimismo, se definen
objetivos y se recopila toda la información posible que luego
será utilizada a lo largo de las siguientes fases. La
información que se busca abarca desde nombres y
direcciones de correo de los empleados de la organización,
hasta la topología de la red, direcciones IP, entre otros. Cabe
destacar que el tipo de información o la profundidad de la
pesquisa dependerán de los objetivos que se hayan fijado en
la auditoría.
Fase de escaneo: Utilizando la información obtenida
previamente se buscan posibles vectores de ataque. Esta
etapa involucra el escaneo de puertos y servicios.
Posteriormente se realiza el escaneo de vulnerabilidades que
permitirá definir los vectores de ataque.
Fase de enumeración: El objetivo de esta etapa es la
obtención de los datos referente a los usuarios, nombres de
equipos, servicios de red, entre otros. A esta altura de la
auditoría, se realizan conexiones activas con el sistema y se
ejecutan consultas dentro del mismo.
Fase de acceso: En esta etapa finalmente se realiza el
acceso al sistema. Esta tarea se logra a partir de la
explotación de aquellas vulnerabilidades detectadas que
fueron aprovechadas por el auditor para comprometer el
sistema.
Fase de mantenimiento de acceso: Luego de haberse
obtenido el acceso al sistema, se busca la manera de
preservar el sistema comprometido a disposición de quien lo
ha atacado. El objetivo es mantener el acceso al mencionado
18/5/2014 Introducción al Pentesting | ITechNode
http://itechnode.com/introduccion-al-pentesting 4/5
TAGS: pentesting, seguridad
ATRIBUTOS DATA
HTML5
No hay comentarios | feb 20, 2014
EJEMPLOS DE
DIAGRAMAS
ENTIDAD RELACION
No hay comentarios | nov 30, 2013
COLOR COP
RECOGEDOR
MULTIUSOS DEL COLOR
No hay comentarios | dic 5, 2013
OFFLINE.JS ALERTA
DE CONECTIVIDAD
A INTERNET
No hay comentarios | dic 8, 2013
ENTRADAS QUE TE PUEDEN INTERESAR!
Zero
Fundador de ITechNode, Estudiante de Ing. de Sistemas e
Informática. Me gusta aprender cualquier cosa que me
parezca interesante.
ACERCA DEL AUTOR
sistema perdurable en el tiempo.
Si bien las fases que componen a la operatoria de un Penetration
Test son las mencionadas anteriormente, cabe señalar que a
partir de los resultados obtenidos se genera la documentación
correspondiente con los detalles que comprendieron la
auditoría. Esta documentación es la que verá el cliente, y es la
que servirá como guía para tomar las decisiones futuras
pertinentes.
Finalmente, es importante tomar los recaudos necesarios para
evitar sufrir ataques e incidentes en la organización.
Te sirvio?Comenta y Comparte!
Compartir en
Compartir en
Compartir en
Google+
18/5/2014 Introducción al Pentesting | ITechNode
http://itechnode.com/introduccion-al-pentesting 5/5
Facebook Google+ Wordpress
20 GALERIAS
INTERESANTES
CON JQUERY
6 MEDIDAS QUE
DEBES PONER
EN PRACTICA
PARA TU
SEGURIDAD
CARACTERISTICAS
DE UNA PAGINA
BIEN
DESARROLLADA
20 TIPS PARA
SER UN BUEN
PROGRAMADOR
DESACTIVAR
UEFI EN
WINDOWS 8 DEFINICIONES
EXPERTO EN
SEGURIDAD
CARACTERISTICAS
TODO
COPYRIGHT © 2014 ITECHNODE | TECH. NETWORK ALL RIGHTS RESERVED.
POWERED BY ITECHNODE © 2014