Pruebas de Penetración

Temas de hacking ético y ciberseguridad en general. Por favor lea [Necesita Registrarse o Iniciar Sesión para ver el enlace] para que conozca todo sobre nosotros. Invita a otros miembros al foro, también puedes unirte al chat con este enlace: [Necesita Registrarse o Iniciar Sesión para ver el enlace].

Nota: Publique aquí lo que no esté en las demás categorías.
Boekroot
Mensajes: 9
Registrado: Mar Dic 11, 2018 2:28 am

Pruebas de Penetración

Mensaje por Boekroot » Vie Feb 22, 2019 1:18 am

A continuación se busca dar a conocer lo que son las pruebas de penetración y los tipos de estas mismas, es importante tener en cuenta esta información para saber fijarnos objetivos a lo largo de nuestras metas en el “pentesting”, ya que como ustedes y muchos que van iniciando es importante tener en claro muchas cosas antes de comenzar, espero les agrade el contenido de mi segundo artículo.

1.1 Definición de una prueba de penetración

Pruebas de Intrusión, Pen-testing o Penetration Testing son los nombres que se le atribuye al conjunto de pruebas que se realizan para explotar la vulnerabilidad detectada, escalando privilegios y manteniendo acceso al mismo para demostrar la falencia o ausencia de seguridad con la que cuenta un sistema. La razón por la que se presenta en una subsección es porque es un término muy conocido y utilizado en el área del hacking ético y no ético que amerita ser resaltado para no crear confusión y proveer a quienes son nuevos en este campo el compendio de términos necesario para su inmersión en dicha área.
images.jpg
descarga.jpg
1.2 Objetivos de una prueba de penetración

Los objetivos de cualquier prueba de penetración son los siguientes:
• Probar y validar la eficacia de los controles de seguridad de una organización.
• Identificar las vulnerabilidades de la organización, tanto interna como externamente.
• A través de la recopilación de información de las pruebas de seguridad, proporcionar evidencia real, amplia y detallada del nivel de seguridad de una organización.
• Ayuda en la priorización de la aplicación de los parches adecuados para las vulnerabilidades reportadas.
• Descubrir sí la infraestructura de la red y/o los sistemas de una organización requieren de un cambio o mejora en su diseño.
• Ayuda a alcanzar y mantener el cumplimiento con regulaciones, normas o estándares de seguridad.

1.3 tipos de pruebas de penetración

Las pruebas de penetración pueden clasificarse dependiendo de la información proporcionada por el cliente (empresario o líder de la empresa) hacia el equipo de consultores de seguridad ofensiva o pentester, a continuación, se describen los tres tipos de auditorías.

Pruebas de penetración de Caja Negra:
En este tipo de auditoría el equipo de consultores no recibe ningún tipo de información sobre los sistemas informáticos y activos pertenecientes a la infraestructura de TI de la organización. En este caso, el equipo de consultores solo recibe el nombre de la institución, por lo que se trabaja con la información que se puede recolectar a través de medios públicos. Este tipo de pruebas simula el ataque de un cracker, por lo que permite medir el alcance e impacto que tendría un evento real.

Pruebas de penetración de Caja Blanca:
Este enfoque de auditoría se utiliza cuando el cliente necesita realizar un análisis de seguridad a profundidad en los sistemas informáticos. Para que esto suceda, el cliente comparte la mayor cantidad de información posible, de manera que el equipo consultor pueda trabajar directamente sobre los activos a analizar y reduciendo el tiempo de las fases previas a la identificación y explotación de las vulnerabilidades.
En este tipo de auditoría, el equipo consultor recibe información con mayor detalle sobre los activos y servicios de la infraestructura tecnológica, tal como: versiones de los servicios que se ejecutan, listas de los sistemas operativos instalados en los servidores, código fuente de aplicaciones, entre otros.

Pruebas de penetración de Caja Gris:
Este tipo de auditoría es una combinación de los tipos anteriores, en donde el cliente entrega cierta información, pero no toda al equipo de consultores, tal como: segmentos de red, direcciones IP de servidores pertenecientes a la infraestructura de TI, diagramas con la topología de la organización, entre otros.
Otra manera de clasificar el tipo de pruebas es respecto al lugar desde el que el equipo de consultores realiza la ejecución de las mismas:

Pruebas de penetración externas:
Las pruebas son realizadas por el equipo de consultores desde cualquier punto fuera de la infraestructura de TI. El objetivo de este tipo de pruebas es simular el accionar de un atacante remoto hacia los activos tecnológicos de la infraestructura de TI, que se encuentran expuestos en internet.
Este tipo de pruebas permite valorar la visibilidad que tiene el atacante externo y el impacto que asociado a la explotación de las vulnerabilidades detectadas. Este tipo de pruebas son realizadas desde las oficinas de la consultoría.

Pruebas de penetración internas:
El objetivo de estas pruebas es el de medir el daño que podría causar un atacante que se encuentre dentro de la red interna. Para llevar a cabo las pruebas internas, el equipo de consultores se sitúa en una estación de trabajo de la organización a evaluar y se le suministra acceso a la red interna, dependiendo de las necesidades del cliente y del servicio, se podría modelar un atacante interno que posee acceso a la red de usuarios administrativos, a la red de servidores de desarrollo, red de servidores de producción, entre otros.
Seguridad-BlackArch-Linux.jpg
1.4 REFERENCIAS

 Dussan,C.A.(2006). Politicas de seguridad informática. Redalyc, volumen (2), 86-92.
 Gómez, A. y Suárez, C. (2012). Sistemas de información: herramientas practicas para la gestión empresarial. Madrid España: Alfaomega.
 Vega, O.A., y Vinasco, R.E. (2014). CAPTCHA ¿una solución para la seguridad informática o problema para la accesibilidad/usabilidad web? Redalyc, 4(2), 1-14.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Ezequiel Alejandro García Gómez
(Boek SHL)
Estudiante de Ingeniería Industrial, miembro, colaborador de Security Hack Labs y apasionado por el Hacking.

Volver a “General”