¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Metasploit
  3. Introducción a las pruebas de intrusión
Extrait - Metasploit Verifique la seguridad de sus infraestructuras
Extractos del libro
Metasploit Verifique la seguridad de sus infraestructuras
2 opiniones
Volver a la página de compra del libro

Introducción a las pruebas de intrusión

¿Qué es una prueba de intrusión?

Una prueba de intrusión (o penetration test, regularmente abreviada como pentest) es el proceso que permite comprobar la seguridad de un sistema, un entorno o un perímetro definido en condiciones del mundo real.

La persona que realiza el pentest (pentesters) se pone en la piel de un atacante o usuario malintencionado, replicando sus acciones.

Gracias a los resultados de las pruebas, los equipos auditados pueden mejorar la seguridad del perímetro auditado, aplicando los consejos emitidos por las personas que realizan los pentests. Además, se genera un informe que contiene recomendaciones claras y precisas y que permite sensibilizar a los diferentes actores de un mismo proyecto.

Finalmente, las pruebas de penetración o intrusión van más allá de la identificación de vulnerabilidades conocidas, usando para ello escáneres de vulnerabilidades como Nessus. Adicionalmente, permiten ir más allá en las pruebas con el objetivo de descubrir más vulnerabilidades.

¿Cuáles son los diferentes tipos de pruebas de intrusión?

El concepto de pruebas de intrusión es relativamente vago. En efecto, este término por sí solo no permite obtener información adicional sobre las pruebas realizadas.

Para dar más detalles, podemos especificar los tipos de pruebas:

  • pruebas de intrusión externas, que se pueden llevar a cabo desde una simple conexión a Internet en un perímetro de acceso público,

  • pruebas de intrusión internas, que se pueden llevar a cabo desde la red interna de una empresa,

  • pruebas de intrusión Wi-Fi, para resaltar posibles riesgos en la red inalámbrica desplegada,

  • etc.

También es posible definir una prueba de intrusión en función del nivel de conocimiento del atacante. Tenga en cuenta que distinguimos entre «atacante» y «usuario malicioso». Por lo tanto, hablaremos de dos métodos distintos:

  • Pruebas de intrusión de caja negra (black box): durante estas pruebas, la empresa auditada no proporciona ninguna información a los pentesters. Estos últimos actúan como un atacante que tiene este perímetro como objetivo.

  • Pruebas de intrusión de caja gris (grey box): durante estas pruebas, los auditores disponen de información adicional para actuar como un usuario malintencionado. Normalmente, durante esta fase se proporcionan las cuentas de usuario....

¿Cuáles son las diferentes fases de una prueba de intrusión?

Para perfeccionar su técnica y aumentar significativamente sus resultados en el campo del deporte, los atletas de alto nivel utilizan rutinas de entrenamiento que, repetidas cientos o miles de veces, permiten obtener el mejor resultado posible durante la competición.

Durante las pruebas de intrusión, los auditores también tienen estas rutinas, llamadas metodologías de prueba. Usar una metodología permite no omitir ninguna prueba y compartir esta metodología; asimismo, simplifica el trabajo en equipo a la hora de repartir las acciones que se deben realizar.

Existen muchas metodologías, pero hay dos que destacan sobre el resto:

PTES

PTES (Penetration Testing Execution Standard) es un estándar que permite disponer de una metodología completa para realizar pruebas de intrusión.

De hecho, a diferencia de otras metodologías basadas únicamente en pruebas, PTES establece un conjunto de principios y acciones que se deben llevar a cabo para la realización de una prueba de intrusión global.

images/02EP01.PNG

El estándar se divide en siete pasos:

Precompromiso (compromisos previos)

Desde el punto de vista de los auditores, sin duda este paso es uno de los más importantes, ya que los otros seis se basarán en los elementos obtenidos durante su realización. Algunos auditores llaman a esta fase «la reunión de inicialización».

Durante este último, el objetivo es entender las necesidades del cliente. Para esto, es necesario obtener información como:

  • el alcance de las pruebas (los objetivos que los auditores tendrán que explotar)

  • las fechas y las horas de las pruebas

  • el tipo de pruebas esperadas (externas, internas, Wi-Fi, etc.)

  • el nivel de conocimiento (caja negra, caja gris o caja blanca)

  • el tipo de aplicación (producción, preproducción, desarrollo, etc.)

También es posible que un cliente limite los ataques realizados por los auditores. Cuando el perímetro objetivo está en producción, no es raro que no se permitan las pruebas de denegación de servicio (DoS).

Durante estos intercambios, es necesario contar con los contactos técnicos que pueden intervenir durante las pruebas en caso de que haya que realizar...