17
4.Test de Penetración - PENTEST Auditoría de la Seguridad

4.test de penetración pentest

Embed Size (px)

Citation preview

Page 1: 4.test de penetración   pentest

4.Test de Penetración - PENTEST Auditoría de la Seguridad

Page 2: 4.test de penetración   pentest

Como administrador de sistemas, una de nuestras responsabilidades es mantener la seguridad de nuestra plataforma lo menos vulnerable posible. Es importante que podamos detectar cualquier vulnerabilidad que exista antes de que esta sea aprovechado por un hacker.

Introducción.

Page 3: 4.test de penetración   pentest

Es el método de evaluar la seguridad de los equipos y las redes de comunicación simulando un ataque informático desde una fuente externa o interna.El proceso consiste en un análisis activo de todos los equipos de la red para detectar cualquier vulnerabilidad de seguridad por una falla en la configuración de los servidores o los equipos de seguridad.

¿Qué es un Pentest?

Page 4: 4.test de penetración   pentest

El auditor evalúa la seguridad de la red desde afuera de la empresa.El objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. El método es parecido al empleado por un hacker real. No se informa a los empleados, sobre esta auditoría.

BlackBox - Test Externo

Page 5: 4.test de penetración   pentest

1.Pruebas de usuarios y passwords.2.Captura de tráfico.3.Detección de conexiones4.Detección de protocolos utilizados.5.Scanning de puertos TCP, UDP e ICMP.6.Intentos de acceso vía accesos remotos.7.Análisis de la seguridad de las conexiones8.Pruebas de vulnerabilidades conocidas.9.Ataques de Denegación de Servicio. (DOS)

Pruebas Externas

Page 6: 4.test de penetración   pentest

Busca demostrar el nivel de seguridad con acceso interno.Se evalúa qué puede hacer un atacante interno y hasta dónde será capaz de penetrar, siendo un usuario con privilegios bajos. El auditor tiene acceso total a los equipos de la empresa.Los empleados tienen conocimiento de la auditoría y colaboran con el auditor.

WhiteBox - Test Interno

Page 7: 4.test de penetración   pentest

1.Análisis de protocolos internos y sus vulnerabilidades.

2.Autenticación de usuarios.3.Verificación de permisos y recursos compartidos.4.Test de los servidores principales (WWW, DNS,

etc.).5.Análisis de la seguridad de las estaciones de

trabajo.6.Seguridad de la red.7.Verificación de reglas de acceso.8.Ataques de Denegación de Servicio. (DOS).

Pruebas Internas

Page 8: 4.test de penetración   pentest

Es un profesional de la seguridad, que aplica sus conocimientos de hacking con fines defensivos.

¿Qué es un Hacker Ético?

Page 9: 4.test de penetración   pentest

Es una plataforma de pruebas de penetración y la auditoría de seguridad.Son herramientas para identificar, detectar y explotar las vulnerabilidades. Basado en Linux - Licencia Libre.

BackBox

Page 10: 4.test de penetración   pentest

1.Definición objetivos y alcance del PENTEST.2.Recolección de información3.Descubrimiento de destino.4.Listar equipos y programas.5.Identificar las vulnerabilidades.6.Probar la Ingeniería Social. 7.Explotación de destino. 8.Escalar privilegios.9.Mantener el acceso. 10.Documentar y hacer el informe.

Metodología de un Pentest

Page 11: 4.test de penetración   pentest

Google, Bing, Linkedin y otros para encontrar mails, y otros datos: theHarvester.py -d tigo.com.py -l 500 -b google

TheHarvester - Buscar Mails

Page 12: 4.test de penetración   pentest

Proporciona un mapa de red sobre dominios.https://www.robtex.net/?dns=presidencia.gov.py&graph=1

Page 13: 4.test de penetración   pentest

Muestra el historial de todas las páginas antiguas.Puede ser útil para ver información, que hoy día ya no está disponible: emails, usuarios, datos de servidores, etc.

ARCHIVE.ORG

Page 14: 4.test de penetración   pentest

NETCRAFT: Proporciona información de 1 sitio web:1.IP Address.2.Sistema Operativo.3.WebServer.4.Fechas de cambios.

http://toolbar.netcraft.com/site_report

Page 15: 4.test de penetración   pentest

Es un buscador de dispositivos inseguros en Internet:1.Cámaras. 2.Routers.3.Servidores Linux y Windows.4.Impresoras de Red.5.Centrales Telefónicas.

Ejemplo: https://www.shodan.io/search?query=Steven

Shodan.io

Page 16: 4.test de penetración   pentest

1.¿Qué es un PENTEST?2.¿Por qué es importante el PENTEST?3.¿Cómo es un Test Externo (BlackBox)?4.¿Cómo es un Test Interno (WhiteBox)?5.¿Qué es un hacker ético?6.¿Qué información proporciona el sitio web:

Robtex.com?7.¿Qué información proporciona la herramienta:

TheHarvester?8.¿Qué información proporciona el sitio web:

Archive.org?Responder Aquí

Preguntas

Page 17: 4.test de penetración   pentest

1.Encontrar email del dominio.2.Obtener Mapa de ROBTEX:

https://www.robtex.net/?dns=presidencia.gov.py&graph=1

3.Capturar una versión antigua de la página: http://www.archive.org.

4.Identificar datos de servidor con NETCRAFT:http://toolbar.netcraft.com/site_report

Tarea: Investigar un sitio web.