Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Capítulo 18
Evaluaciones y auditorías de seguridad
OBJETIVOS DE CERTIFICACIÓN
18.01 Comprensión de los tipos de evaluaciones
18.02 Realización de una evaluación de seguridad
ANTERIOR17 Introducción a la informática foren…⏮
PRÓXIMO19 Comprensión del seguimiento y la a… ⏭
🔎
Guía de estudio de certificación de CompTIA Security +, tercera edición (examen SY0-501), tercera edición
Translated to: Spanish Show original Options ▼
Ejercicio de dos minutos
Autoprueba de preguntas y respuestas
UNAUna tarea importante de los profesionales de la
seguridad es evaluar la seguridad de la organización. La
evaluación de la seguridad de la organización implica no
solo evaluar los aspectos técnicos como la configuración del
servidor y el firewall, sino también evaluar los controles de
seguridad física y la conciencia de los empleados con
respecto a los ataques de ingeniería social.
En este capítulo, aprenderá sobre los diferentes tipos de
evaluaciones que se deben realizar dentro de la
organización y las herramientas utilizadas para las
evaluaciones. ¡Asegúrese de estudiar los consejos para el
examen de este capítulo porque seguramente verá algunas
preguntas sobre evaluaciones de seguridad en el examen de
certificación Security +!
OBJETIVO DE CERTIFICACIÓN 18.01
COMPRENSIÓN DE LOS TIPOS DEEVALUACIONES
Evaluar la seguridad es una tarea importante que se debe
realizar de forma regular, y saber cómo realizar esa
evaluación es una habilidad importante. La seguridad es
más que solo firewalls y permisos. Es importante
comprender cómo evaluar las diferentes áreas del negocio y
los riesgos asociados con esas áreas.
En esta sección aprenderá sobre los diferentes tipos de
evaluaciones de seguridad. Asegúrese de estar muy
familiarizado con estos para el examen de certificación
Security +.
TIPOS DE EVALUACIÓN
Las evaluaciones de seguridad incluyen evaluación de
riesgos, evaluación de amenazas, evaluación de
configuración, evaluación de vulnerabilidad y pruebas de
penetración. Cada tipo de evaluación adopta un enfoque
diferente para evaluar la seguridad.
Evaluación de riesgos
Una evaluación de riesgos es un tipo de evaluación popular
que se utiliza en muchos aspectos de la seguridad, como la
planificación de la continuidad del negocio. La evaluación
de riesgos también se conoce como análisis de riesgos y se
ocupa de identificar los riesgos para los activos dentro de la
organización y luego encontrar soluciones para minimizar
esos riesgos. El Capítulo 15 cubrió el análisis de riesgos con
más detalle, pero a continuación se describen las
principales fases de una evaluación de riesgos:
Identificar los activos El primer paso para una
evaluación de riesgos es identificar los activos dentro de
una organización. Los activos son todo lo que tiene valor
para la organización; por ejemplo, si una empresa tiene un
sitio de comercio electrónico que genera cientos de miles de
dólares al día, eso sería una ventaja.
Identificar las amenazas (riesgo) contra losactivos (Evaluación de amenazas) Una vez que haya
identificado los activos, identifique las amenazas contra
cada activo. Cada activo suele tener más de una amenaza.
En este punto, solo enumera las amenazas. Por ejemplo, el
sitio web podría ser atacado por un ataque de denegación
de servicio (DoS) o el disco duro del servidor web podría
fallar.
Analizar impacto Esta fase se conoce como fase de
análisis de impacto y se utiliza para determinar el impacto
análisis de impacto y se utiliza para determinar el impacto
que tendría cada amenaza contra el activo. Por ejemplo, el
impacto de un ataque DDoS en el sitio de comercio
electrónico de la empresa sería la pérdida de ingresos
durante el tiempo que sea necesario para recuperarse del
ataque. Esta amenaza tendría un gran impacto.
Priorizar las amenazas Después de identificar
todas las amenazas al activo, califica la amenaza en función
del impacto que tendrá en el negocio si la amenaza se
convierte en realidad, y también en función de la
probabilidad de que ocurra. En este punto, debería tener
una idea de cuáles son las amenazas más graves.
Mitigar la amenaza Una vez que haya priorizado
las amenazas, puede ver cómo las va a mitigar. Por ejemplo,
puede ayudar a prevenir un ataque al servidor web
colocándolo detrás de un firewall. Puede protegerse contra
fallas en el disco duro implementando una solución RAID.
Aunque en el Capítulo 15 aprendió fórmulas comoSLE y ALE, también conozca la fórmula generalasociada con el cálculo del riesgo: Riesgo = probabilidad × pérdida potencial, o R = P × L
Evaluación de amenazas
La evaluación de amenazas es en realidad parte de la
evaluación de riesgos, donde identifica las diferentes
amenazas a un activo. Como se mencionó, tendrá muchas
amenazas diferentes para un solo activo, y parte de la
evaluación de riesgos es priorizar esas amenazas.
g p
Evaluación de la configuración
Con una evaluación de la configuración, el administrador de
seguridad revisará la configuración de seguridad de un
sistema o red. Por lo general, esto implica tener una lista de
verificación de las mejores prácticas de configuración y
garantizar que se sigan esas mejores prácticas. La siguiente
es una lista de activos cuya configuración debe verificar:
Todos los sistemas Al evaluar la seguridad de
cualquier sistema, asegúrese de que esté actualizado con los
parches y se haya reforzado. Asegúrese de que no se estén
ejecutando servicios o software innecesarios en el sistema.
Todos los sistemas deben requerir que los usuarios inicien
sesión con contraseñas seguras. Todos los sistemas deben
tener instalado un software antivirus con la base de datos
de definiciones de virus actualizándose automáticamente.
También debe configurarse y habilitarse un firewall basado
en host.
Servidor de archivos Al verificar la configuración
de seguridad en un servidor de archivos, asegúrese de que
los usuarios tengan que autenticarse en el servidor de
archivos antes de acceder a los archivos en el servidor.
Asegúrese de que se asignen permisos a las carpetas para
controlar quién tiene acceso a la información y asegúrese de
que se sigue el principio de privilegio mínimo.
Servidor web Con la configuración del servidor web,
verifique que SSL / TLS esté implementado si el sitio web
está tratando con información confidencial del visitante.
Asegúrese de que se implemente la autenticación adecuada
y también asegúrese de que no haya archivos en el servidor
web que no deberían estar allí. Asegúrese de que el servidor
web tenga habilitado el registro para que pueda controlar el
acceso a los sitios web.
acceso a os s t os web.
Servidor SMTP Además de parchear y fortalecer el
sistema, asegúrese de que el servidor SMTP esté detrás de
un firewall y no permita la retransmisión SMTP. El servidor
SMTP debe tener protección antivirus a nivel de correo y
también debe tener habilitadas las funciones de filtrado de
spam para mantener la higiene de los mensajes. Hablé con
un cliente que tiene habilitadas las funciones de filtrado de
spam en su servidor de correo y los filtros de spam detectan
40.000 mensajes de correo al día que no son mensajes de
correo electrónico legítimos.
Servidor DNS Asegúrese de que la organización
utilice dos soluciones DNS: una para la resolución de
nombres internos y la otra para la resolución de nombres
públicos. El servidor DNS público debe estar en la DMZ y
estar reforzado. El servidor DNS debe permitir
transferencias de zona DNS solo a servidores secundarios.
Enrutadores Los enrutadores deben tener
contraseñas de consola, auxiliares y Telnet configuradas
para controlar quién obtiene acceso administrativo al
enrutador. Por motivos de seguridad, debe utilizar Secure
Shell (SSH) en lugar de Telnet para administrar el
enrutador de forma remota. Asegúrese de que el enrutador
tenga una lista de control de acceso (ACL) implementada
que controlará qué tráfico puede pasar a través del
enrutador. Por ejemplo, la siguiente configuración en un
enrutador Cisco creará una lista de acceso 45 que permitirá
el tráfico desde la red 12.0.0.0 y desde la red 11.0.0.0. Un
negar todo implícitoLa regla existe al final de la ACL, por lo
que, a menos que el tráfico provenga de la red 11.0.0.0 o
12.0.0.0, se denegará. Luego, la regla se aplica a la interfaz
serial en el enrutador para el tráfico entrante, lo que da
como resultado que el tráfico que intenta ingresar a la red
sea filtrado por la ACL.
p
Cortafuegos Los cortafuegos deben configurarse
para denegar todo el tráfico excepto el tráfico que se
permite explícitamente pasar a través del cortafuegos. Esta
es una configuración conocida como denegación implícita;a menos que se especifique lo contrario, se deniega todo el
tráfico. Debido a que los firewalls están conectados a
Internet, debe asegurarse de que se hayan deshabilitado
todas las funciones de administración remota y de que se
utilice una autenticación sólida en el dispositivo.
Conmutadores En lo que respecta a la
configuración del conmutador, asegúrese de que las
contraseñas estén configuradas en el puerto de la consola,
el puerto auxiliar y los puertos Telnet para controlar quién
puede obtener acceso administrativo al dispositivo.
También verifique si algún puerto no utilizado está
desactivado para garantizar la seguridad del puerto. Para
separar los sistemas en diferentes segmentos de red,
compruebe si se están utilizando VLAN y, de no ser así,
averigüe si deberían hacerlo.
Empleados Al realizar una evaluación manual,
también evalúe el conocimiento de seguridad de los
empleados planificando y ejecutando algunos ataques de
ingeniería social contra ellos. Por ejemplo, podría ver si un
empleado revelaría su contraseña. O coloque CD sin
etiquetas en los escritorios de algunos empleados y vea
cuántos de esos empleados colocan el CD en sus sistemas.
La idea aquí es que el CD podría haber sido un virus y los
empleados no deberían poner medios desconocidos en un
sistema
sistema.
Seguridad física Con una evaluación manual,
también desea evaluar la seguridad física. ¿Están todas las
puertas y ventanas necesarias cerradas? ¿Se ha cambiado la
configuración CMOS de los sistemas para evitar el arranque
desde CD en vivo? En el caso de las emisoras que muestran
información confidencial, ¿están lejos de espectadores no
autorizados? ¿Los sistemas secretos se mantienen en un
área protegida con los puertos USB desactivados para evitar
el uso de unidades flash?
Evaluación de vulnerabilidad
Una evaluación de vulnerabilidad es una evaluación en la
que identifica áreas en la configuración que hacen que su
sistema sea vulnerable a un ataque o incidente de
seguridad. La mayoría de las evaluaciones de
vulnerabilidades se automatizan mediante el uso de una
herramienta de evaluación de vulnerabilidades como
Microsoft Baseline Security Analyzer (MBSA), GFI
LanGuard (consulte la figura 18-1 ) o Nessus.
FIGURA 18-1
Los escáneres de vulnerabilidades escanearán la red e
informarán las preocupaciones de seguridad sobre cada
sistema.
El propósito de una herramienta de evaluación de
vulnerabilidades es analizar la configuración del sistema
para determinar las áreas que deben mejorarse desde el
punto de vista de la seguridad. Por ejemplo, la herramienta
de evaluación de vulnerabilidades verificará el nivel de
parcheo en el sistema y le informará si le faltan parches.
También informará si tiene cuentas de usuario sin
contraseña, cuentas que no han iniciado sesión
recientemente o demasiadas cuentas administrativas.
Todos estos puntos crean riesgos de seguridad en el
sistema.
Para el examen, recuerde que las evaluaciones devulnerabilidad se consideran evaluaciones pasivasporque en realidad no está tratando de eludir loscontroles de seguridad y piratear un sistema.
El punto clave para comprender las evaluaciones de
vulnerabilidades es que, aunque puede estar ejecutando un
programa para hacer la evaluación por usted, el software
solo verifica la configuración del sistema para tomar
decisiones sobre dónde se deben realizar las mejoras. En
realidad, el software no está realizando ataques al sistema;
simplemente verifica la configuración del sistema. Esto se
conoce como adoptar un enfoque pasivo de la evaluación
(evaluación pasiva ) porque en realidad no está tratando de
explotar el sistema, simplemente verifica la configuración y
toma decisiones basadas en ella.
A continuación, se describen algunos de los elementos que
se verificarían en una evaluación de vulnerabilidad:
Cuentas no utilizadas Compruebe si alguna cuenta
de usuario no se ha utilizado recientemente. Muchas
empresas tienen empleados que dejan la empresa sin que se
notifique al administrador que deshabilite su cuenta. Esta
cuenta que no se está utilizando podría verse comprometida
por un pirata informático, por lo que es fundamental que
identifique las cuentas no utilizadas y las desactive.
Cuentas administrativas Vigile de cerca las
cuentas administrativas (consulte la Figura 18-2 ). Cuantas
menos cuentas administrativas, mejor, porque necesita
limitar la cantidad de personas que pueden realizar cambios
en el entorno. También debe estar atento a las cuentas
administrativas adicionales porque un pirata informático
podría haber colocado una como puerta trasera del sistema.
FIGURA 18-2
Identificación de cuentas administrativas con LanGuard
Sistema operativo sin parche Un sistema sin
parche presenta un gran riesgo de seguridad, así que
asegúrese de estar atento a los sistemas sin parche. La
mayoría del software de evaluación de vulnerabilidades
identifica sistemas operativos que no están parcheados
(consulte la Figura 18-3 ).
FIGURA 18-3
Identificación de parches faltantes con LanGuard
Software sin parche No solo debe identificar los
sistemas operativos sin parche, sino que también debe
verificar si hay software sin parche. Si su servidor de correo
electrónico o servidor de base de datos no está actualizado,
es probable que un atacante pueda realizar un ataque de
desbordamiento de búfer contra él y obtener acceso
administrativo completo al sistema.
Software vulnerable Un gran beneficio del
software de evaluación de vulnerabilidades es que
identificará cualquier software vulnerable que se ejecute en
el sistema. Por ejemplo, si su sistema es vulnerable a un
ataque CGI, el software de evaluación se lo informará.
El examen Security + espera que comprenda las
características de los análisis de vulnerabilidades y las
consideraciones que se deben tener en cuenta al realizarlos:
Prueba pasiva de los controles de seguridad Sepa que realizar un análisis de vulnerabilidades se
considera probar pasivamente la seguridad de un sistema
porque en realidad no está intentando piratear el sistema o
explotarlo.
Identificar la vulnerabilidad El objetivo del
análisis de vulnerabilidades es identificar las
vulnerabilidades o debilidades del sistema. Por ejemplo, si
este sistema no está actualizado con parches, se considera
una vulnerabilidad.
Identificar la falta de controles de seguridad Al
realizar una evaluación de vulnerabilidades, busca
identificar si hay algún control de seguridad que deba
usarse y que no se esté usando actualmente. Por ejemplo,
puede evaluar la seguridad de un servidor de base de datos
y notar que no está protegido por un firewall. En este caso,
debe informar que el sistema podría usar un firewall para
controlar la comunicación con el servidor de la base de
datos.
Identificar errores de configuración comunes Al realizar un escaneo de vulnerabilidades, está
investigando la configuración del sistema para determinar
cualquier error de configuración que pueda causar
cualquier error de configuración que pueda causar
problemas de seguridad. Por ejemplo, puede observar que
no se ha cambiado el nombre de la cuenta de administrador
en un servidor.
Intrusivo frente a no intrusivo Es importante
saber que un análisis de vulnerabilidades se considera un
análisis no intrusivo porque en realidad no está
intentando piratear el sistema o explotarlo.
Con credenciales versus sin credenciales Al
realizar un análisis de vulnerabilidades, debe asegurarse de
realizar uno como usuario no autenticado (sin credenciales)
para averiguar qué información está siendo expuesta a
personas desconocidas en la red. A continuación, debe
realizar el análisis con una cuenta administrativa iniciada
para que pueda recopilar tanta información sobre el sistema
como sea posible.
Falso positivo Al igual que con cualquier tipo de
exploración, es importante estar atento a los falsos
positivos, algo que se informa como una vulnerabilidad
pero no lo es.
Pruebas de penetración
Una prueba de penetración es un tipo de evaluación de
seguridad totalmente diferente a una evaluación de
vulnerabilidad. Con una prueba de penetración, el
evaluador usa métodos de ataque comunes para ver si
pueden eludir la seguridad de un sistema. Si el probador de
penetración no puede comprometer el sistema usando
exploits comunes, entonces el sistema pasa la prueba. De lo
contrario, si el sistema está comprometido, el sistema no
pasa la prueba y el probador de penetración informa sobre
los hallazgos y sobre cómo proteger el sistema.
El examen Security + espera que conozca las características
de una prueba de penetración. Las siguientes son
características y consideraciones con las pruebas de
penetración:
Verificar que existe una amenaza Una prueba de
penetración es una de las mejores formas de verificar que
una amenaza existe realmente porque está realizando los
tipos exactos de acciones que realizaría un pirata
informático para explotar el sistema.
Evitar los controles de seguridad Una prueba de
penetración está diseñada para evitar cualquier control de
seguridad que pueda existir y atacar el sistema.
Pruebe activamente los controles de seguridad Asegúrese de saber que una prueba de penetración se
considera una prueba activa de la seguridad de un sistema,
mientras que los análisis de vulnerabilidades son pruebas
pasivas.
Explotación de vulnerabilidades La prueba de
penetración está diseñada para explotar vulnerabilidades
del sistema.
Asuntos legales Como consultor que realiza
evaluaciones de seguridad, debe tener cuidado con las
pruebas de penetración porque en realidad está atacando
un sistema, lo cual es un acto ilegal. Es importante
comprender que es ilegal obtener acceso no autorizado a
cualquier sistema.incluso si el objetivo es informar sobre los
hallazgos y ayudar a que el sistema sea más seguro. Como
alguien que realiza una prueba de penetración, es
fundamental que tenga un documento legal redactado por
un abogado que indique que está autorizado para realizar
pruebas de penetración, y luego que los propietarios de la
empresa o la gerencia de nivel superior lo firmen haz la
prueba de penetración
prueba de penetración.
DENTRO DEL EXAMEN
Pruebas de penetración
Para el examen Security +, recuerde que una prueba de
penetración se considera una evaluación activa porque en
realidad está tratando de eludir los controles de seguridad
del sistema y piratearlo.
Es fundamental que obtenga el permiso de la
administración de nivel superior para realizar la evaluación,
y recuerde siempre que, aunque es posible que no tenga la
intención de causar un ataque de denegación de servicio,
puede terminar haciéndolo como resultado de cómo
responde el sistema a la herramientas de piratería.
Puede encontrar que la gerencia de nivel superior no está
muy interesada en las pruebas de penetración porque en
realidad está realizando ataques en vivo contra sistemas de
producción. Asegúrese de educar a la gerencia sobre lo que
implica una prueba de penetración si se le pide que realice
una para que puedan decidir si les gustaría que se realizara
la prueba. Hacer tales pruebas puede bloquear los sistemas
a la mitad del día, así que asegúrese de hacérselo saber.
Puede encontrar que la administración quiere dirigirse en la
dirección de una evaluación de vulnerabilidades porque es
un método más seguro para evaluar la seguridad.
Antes de realizar cualquier tipo de prueba depenetración, asegúrese siempre de tener undocumento legal redactado por un abogado que
documento legal redactado por un abogado queindique que se le ha otorgado permiso para realizar
dicha prueba. Asegúrese de que la gerencia de nivelsuperior de la organización que le solicita querealice la prueba de penetración firme eldocumento. Esto se conoce como autorización deprueba de penetración . También debe obtenerautorización antes de realizar un escaneo devulnerabilidades; esto se conoce comoautorización de prueba de vulnerabilidad .
También puede informar a la gerencia que realizará la
prueba de penetración pero que no realizará
intencionalmente ningún ataque de denegación de servicio
contra los sistemas, para no afectar la producción. Tenga
claro que no realizará intencionalmente ataques de
denegación de servicio, pero que debido a la naturaleza de
las herramientas de ataque, podría producirse una
denegación de servicio inesperada. Informe a la gerencia
que probará las herramientas de ataque con la esperanza de
que no realice una denegación de servicio, pero no puede
ofrecer ninguna garantía. En pocas palabras, podría haber
una pieza de software en el sistema de producción que
responda al ataque de manera negativa al bloquear el
sistema.
Herramientas de prueba Varias herramientas deprueba de seguridad y sitios web pueden ayudarlo a
realizar una prueba de penetración. Los siguientes sitios
web publican información sobre vulnerabilidades en
diferentes productos:
www.securityfocus.com/ (http://www.securityfocus.com/)
https://packetstormsecurity.org/files/
Se han desarrollado herramientas que puede utilizar para
li b d t ió L i i t
realizar una prueba de penetración. Las siguientes son
algunas herramientas populares de prueba de penetración
disponibles en la Web:
Kali Linux Anteriormente conocido como
BackTrack, Kali Linux tiene varias herramientas instaladas
para ayudarlo a probar la seguridad de su red. Incluye
herramientas para probar una serie de funciones de
seguridad, como contraseñas y seguridad inalámbrica.
Metasploit Se trata de un conjunto de exploits
contra diferentes productos. Puede obtener más
información sobre Metasploit y descargarlo de
www.metasploit.com (http://www.metasploit.com) .
Descifradores de contraseñas Existen varias
herramientas para descifrar contraseñas. Puede usar John
the Ripper para descifrar contraseñas, o el muy popular
Cain & Abel.
Tipos de pruebas Al realizar pruebas de seguridad, y
específicamente pruebas de penetración, comprenda que
existen diferentes tipos de pruebas. Puede realizar lo que se
conoce como prueba de caja negra, prueba de caja blanca o
prueba de caja gris. A continuación se describen las
diferencias entre los tres:
Prueba de caja negra Al realizar una prueba de
caja negra, o contratar a un probador de lápiz (probador de
penetración) para hacer una prueba de caja negra, el
objetivo es no brindarle al probador información sobre la
organización o su configuración de red. El tester tendrá que
actuar como un hacker y descubrir los detalles de la
organización y su configuración por su cuenta y luego
simular los ataques. Este tipo de prueba tomaría más
tiempo porque el evaluador tiene que averiguar qué activos
ti t d i t t t l
tiene antes de intentar comprometerlos.
Prueba de caja blanca Con una prueba de caja
blanca, usted o los consultores que contrate para realizar la
prueba reciben todos los detalles sobre los activos y la
configuración de la organización. En este tipo de prueba, el
objetivo es ver si los sistemas pueden verse comprometidos.
Aunque este tipo de prueba es más rápida que la prueba de
caja negra, no le da ninguna idea de lo fácil o difícil que
puede ser para alguien descubrir información sobre su
organización.
Prueba de caja gris Una prueba de caja gris está
en el medio; el evaluador obtiene algunos detalles sobre la
organización y su configuración, pero solo detalles
limitados. Por ejemplo, el evaluador puede obtener una lista
de direcciones IP utilizadas por la organización y tener que
averiguar qué se está ejecutando en esas direcciones IP y
luego simular un ataque.
Para el examen Security +, recuerde que unaprueba de caja negra es cuando al probador no se lehan proporcionado detalles sobre la configuraciónde la red, mientras que a un probador de cajablanca se le dan todos los detalles del entorno.
TÉCNICAS DE EVALUACIÓN
Ahora que comprende algunos de los tipos populares de
evaluaciones de seguridad, quiero hablar sobre algunas
técnicas que se utilizan para realizar evaluaciones. Aunque
las pruebas de penetración son una palabra de moda
popular en la actualidad es importante que conozca otras
popular en la actualidad, es importante que conozca otras
formas de realizar sus pruebas de seguridad.
Informes de referencia
Los informes de línea de base implican capturar una línea
de base del sistema (cómo se ve el sistema en condiciones
normales de trabajo) y luego comparar esa línea de base con
los datos de rendimiento. Los informes de línea de base se
utilizan normalmente en incidentes de seguridad que
implican una denegación de servicio o un incidente de
malware en el que el sistema no está funcionando según las
expectativas.
Al evaluar el sistema, observe el rendimiento actual del
sistema y compárelo con la línea de base para determinar
dónde está el problema. Por ejemplo, puede encontrar que
el servidor está lento un día, y cuando mira los datos de
rendimiento en una herramienta como un monitor de
rendimiento, ve que la CPU está funcionando al 89 por
ciento de su utilización, pero no está haciendo nada fuera la
norma. Compara esto con la línea de base, que muestra un
uso de CPU del 29 por ciento. Esto le indica que algo está
dominando el tiempo de la CPU y hace que el sistema sea
lento. En este ejemplo, puede usar un monitor de
rendimiento para ayudar a rastrear el software que está
utilizando todos los ciclos de la CPU.
Revisión de código
Como soy un poco programador, odio decirlo, pero la
mayoría de los problemas de seguridad se deben a que los
desarrolladores crean aplicaciones de forma insegura. Por
ejemplo, es una regla crítica de la codificación segura
asegurarse de validar cualquier dato enviado a la aplicación,
porque si no lo hace, un hacker podría realizar un ataque de
inyección SQL o un ataque de desbordamiento de búfer.
Tómese el tiempo para asegurarse de que se realicen
revisiones periódicas del código del software desarrollado
internamente. Haga que un evaluador de seguridad
específico revise todo el código de la aplicación que escriben
sus desarrolladores y busque errores en el código que
puedan causar un problema de seguridad.
Para su examen, recuerde que el términosuperficie de ataque se refiere al software y losservicios que se ejecutan en un sistema.
Determinar la superficie de ataque
Otra técnica para evaluar la seguridad es determinar la
superficie de ataque de un sistema. La superficie de ataque
es todo el software que está instalado y los servicios que se
ejecutan en el sistema. Como profesional de la seguridad
que evalúa la seguridad de un sistema, es fundamental que
ayudeLas organizaciones reducen la superficie de ataque de
un sistema al recomendar que eliminen el software y los
servicios innecesarios del sistema.
Arquitectura del anillo
Otra técnica utilizada para evaluar la seguridad de un
sistema o red es examinar la arquitectura del sistema. Por
ejemplo, los procesadores de computadora utilizan una
arquitectura de anillo para ejecutar software (consulte la
Figura 18-4 ). El software que se ejecuta en los anillos
inferiores (el anillo 0 es el más bajo) tiene más privilegios
que el software que se ejecuta en los anillos superiores.
Parte de la arquitectura del anillo es que el software que se
ejecuta en un anillo puede acceder a los recursos en ese
anillo o superior. Por lo tanto, el código del sistema
operativo central que se ejecuta en el anillo 0 puede acceder
a cualquier elemento de los anillos 1, 2 y 3. Pero las
aplicaciones que se ejecutan en el sistema, que se ejecutan
en el anillo 3, no pueden acceder al código del sistema
operativo central y, como resultado, no pueden corromper
esos procesos.
FIGURA 18-4
La arquitectura de cuatro anillos del procesador ayuda a
crear un entorno seguro para ejecutar aplicaciones.
Reseñas de diseño
Otra herramienta que puede utilizar para evaluar la
seguridad es realizar revisiones de diseño antes y después
de implementar una solución. También es fundamental
identificar las preocupaciones de seguridad de un sistema
desde el principio para que pueda reclamar un estado
seguro por diseño (lo que significa que la seguridad fue un
enfoque de principio a fin con la creación de la solución).
Una vez que se haya completado la solución, ya sea una
aplicación o una solución de red, realice una revisión del
diseño y asegúrese de que lo que se solicitó como solución
es realmente lo que se implementó.
OBJETIVO DE CERTIFICACIÓN 18 02
OBJETIVO DE CERTIFICACIÓN 18.02
REALIZACIÓN DE UNA EVALUACIÓN DESEGURIDAD
Esta sección le brinda una buena descripción general de los
pasos que debe seguir para realizar una buena prueba de
penetración. Asegúrese de seguir cada paso de cerca para
protegerse como un probador de penetración. Usted no
quiere que la empresa u organización le responda diciendo
que no le pidió que realizara la prueba.
Al realizar una evaluación de seguridad, asegúrese de
tomarse el tiempo para planificar sus pasos y seguir una
metodología. La metodología puede ser la suya propia o
puede seguir las metodologías estándar de la industria
(recomendado). Las siguientes son algunas metodologías
estándar que debe conocer como profesional de la
seguridad:
OVAL Open Vulnerability and Assessment Language
es un estándar internacional para evaluar las
vulnerabilidades de un sistema. OVAL tiene tres etapas
para la evaluación: representar la información del sistema,
evaluar las vulnerabilidades e informar sobre las
vulnerabilidades. Obtenga más información sobre OVAL en
http://oval.mitre.org/about/index.html
(http://oval.mitre.org/about/index.html) .
La evaluación de vulnerabilidades, activos y amenazas
operativamente críticas de OCTAVE es una metodología de
evaluación de seguridad autodirigida. "Autodirigido"
significa que una organización elige un equipo de sus
propios empleados para realizar la evaluación de seguridad.
OCTAVE tiene cuatro fases: (1) Desarrollar criterios de
gestión de riesgos consistentes con los objetivos del
negocio, (2) Crear un perfil para cada activo de información
que identifique los requisitos de seguridad, (3) Identificar
q q q g , (3)
las amenazas a cada uno de esos activos, y (4) ) Identificar y
analizar riesgos y comenzar enfoques de mitigación.
Obtenga más información sobre OCTAVE en
www.cert.org/octave/ (http://www.cert.org/octave/) .
OWASP Open Web Application Security Project es
un proyecto que estandariza los procedimientos de prueba
de seguridad de aplicaciones web. Puede obtener más
información sobre OWASP en www.owasp.org/index.php
(http://www.owasp.org/index.php) . Tienen excelentes guías
publicadas sobre pruebas de aplicaciones web y revisión de
código.
REALIZACIÓN DE UNA PRUEBA DEPENETRACIÓN
Al realizar una prueba de penetración, está simulando
ataques reales que la organización experimentaría de un
pirata informático real. Esto significa que creará un
conjunto de herramientas de pruebas de penetración
comunes, que son programas utilizados por piratas
informáticos para comprometer los sistemas, descifrar el
cifrado o aprovechar la comunicación.
Antes de analizar el proceso de piratería, que siguen
muchos probadores de penetración , debe conocer el
término pivote , o pivotar , en el contexto de las pruebas de
penetración. Pivotar escuando el evaluador compromete un
servidor, como un servidor web, y luego usa ese sistema
para obtener acceso a otros sistemas en la red que está
siendo atacada. Es importante tener en cuenta que las
pruebas de penetración son un proceso prolongado, como la
piratería, y puede llevar tiempo antes de que se ataque el
sistema final.
Proceso de piratería
Realice una prueba de penetración siguiendo el proceso de
piratería, que es la metodología que siguen los piratas
informáticos cuando planean atacar una organización. A
continuación, se describen las fases del proceso de piratería.
Creación de perfiles La primera fase del proceso de
piratería se conoce como fase de reconocimiento o fase de
creación de perfiles. En esta fase, el pirata informático
utiliza los recursos de Internet para descubrir información
sobre su organización. A continuación, se muestran algunos
ejemplos de las formas en que el hacker recopila
información sobre la organización:
Sitio web El pirata informático visita el sitio web de
la organización para obtener nombres de contacto, números
de teléfono y direcciones de correo electrónico que pueden
utilizar en un ataque de ingeniería social. El pirata
informático también mira las ofertas de trabajo para saber
qué software está ejecutando la organización. Por ejemplo,
si la organización está buscando un administrador de
Exchange Server, es probable que esté ejecutando el
servidor de correo electrónico de Microsoft.
Google El hacker pasará algún tiempo buscando en
Google información específica sobre la organización que
desea atacar. En este paso, el hacker utilizará palabras clave
de Google conocidas como "hacks de Google" para localizar
información específica sobre una organización. Algunos
ejemplos de palabras clave que puede utilizar en Google
para realizar búsquedas son sitio: para buscar contenido en
un sitio web específico, inurl: para buscar contenido en la
URL de un sitio web y tipo de archivo: para buscar archivos
específicos como PDF o Word archivos. Los siguientes son
algunos ejemplos de búsquedas de Google que puede
utilizar:
Base de datos Whois Otro método popular que
utilizan los piratas informáticos para descubrir información
sobre una organización es averiguar las direcciones IP y los
servidores DNS que utiliza una organización. Para
encontrar esta información, el hacker podría usar un sitio
web o programa de base de datos whois para hacer una
búsqueda en la organización y obtener la lista de
direcciones IP y servidores DNS. Un ejemplo de un sitio
web que puede usar para búsquedas en bases de datos
whois es https://www.whois.com/whois/ (vea la Figura 18-
5 ), o puede usar la herramienta de línea de comandos
whois en Kali Linux.
FIGURA 18-5
Uso de un sitio whois para localizar información de la
empresa
Creación de perfiles de DNS Una vez que el hacker
tiene las direcciones IP compradas por una organización, el
hacker está listo para pasar a la siguiente fase de escaneo.
Pero antes de abandonar la fase de elaboración de perfiles,
el pirata informático intentará recuperar información del
servidor DNS de la organización. La siguiente lista de
códigos muestra al pirata informático que usa dig (un
programa popular de Linux) para consultar DNS y
recuperar información de DNS:
excavación www.certworld.loc(http://www.certworld.loc) Este comando informa de la
dirección IP del www.certworld.loc (http://www.certworld.loc) .
dig certworld.loc MX Este comando busca los
servidores de correo para certworld.loc.
dig certworld.loc NS Este comando busca los
servidores DNS para certworld.loc.
dig certworld.loc axfr Este comando intenta ver
todos los datos DNS para certworld.loc.
Tenga en cuenta que el 85 por ciento del proceso de
piratería se dedica a la fase de elaboración de perfiles y a la
recopilación de información que el pirata informático puede
utilizar en un ataque.
El reconocimiento realizado en la fase deelaboración de perfiles se conoce comoreconocimiento pasivo porque el piratainformático no toca los sistemas de laorganización; el pirata informático extraeinformación de fuentes públicas.
EJERCICIO 18-1
Perfilar una organización
En este ejercicio, utilizará algunas de las herramientas
analizadas en el tema de creación de perfiles para obtener
información sobre una organización. Hará algunas
búsquedas en la base de datos whois y algunos perfiles de
DNS.
Realización de una búsqueda en la base de datosWhois
En esta parte del ejercicio, encontrará información sobre mi
empresa, DC Advanced Technology Training, mediante una
búsqueda en la base de datos whois. Aunque hay muchos
sitios web que puede usar, usaremos el comando whois en
Kali Linux.
1. Cambie a Kali Linux VM e inicie una terminal haciendo
clic en el segundo botón en la barra de herramientas de la
aplicación a la izquierda.
2. Para buscar en dcatt.ca, escriba whois dcatt.ca y luego
presione ENTER .
p es o e N .
3. Revise la información de los resultados de la búsqueda y
registre la mayor cantidad posible de la siguiente
información:
Nombre de empresa: _______________
Persona de contacto: _______________
Número de teléfono: _______________
Email: _______________
Habla a:_______________
¿Qué tan actual es esta información? _______________
Servidores de nombres: _______________
4. Ahora pruebe un sitio web whois gráfico iniciando un
navegador web y visitando https://www.whois.com/whois/
. Escriba los siguientes nombres de dominio en el cuadro de
búsqueda y luego haga clic en el botón Buscar para ver la
información de DNS:
www.mheducation.com (http://www.mheducation.com)
www.dcatt.ca (http://www.dcatt.ca)
Realizar un perfil de DNS
En esta parte del ejercicio, utilizará excavar en Kali Linux
para consultar el servidor DNS en nuestro entorno de
laboratorio para encontrar información en DNS que pueda
ayudarlo a identificar recursos en una red.
5. Asegúrese de que los servidores Windows y la VM Kali
Linux estén iniciados.
6. Vaya a Kali Linux VM y luego abra la terminal raíz
haciendo clic en el segundo icono de la parte superior de la
lista de aplicaciones que se encuentran a la izquierda de la
pantalla.
7. Escriba ifconfig para ver su dirección IP. Registre su
dirección IP aquí: _______________
8. Escriba dig www.certworld.loc(http://www.certworld.loc) para consultar al DNS la dirección
IP de www.certworld.loc (http://www.certworld.loc) . Observe que
la sección de respuesta muestra una dirección IP a la
derecha. Cual es la direccion IP? _______________
9. Observe una gran cantidad de resultados adicionales
que no necesita. Si simplemente desea la respuesta sin
detalles adicionales, escriba dig www.certworld.loc(http://www.certworld.loc) + short . ¿Ve solo la dirección IP
del servidor web? _______________
10. Para obtener una lista de registros MX únicamente,
escriba dig certworld.loc MX . Observe que la sección de
respuestas tiene dos entradas MX para esta empresa:
www.certworld.loc (http://www.certworld.loc) y
mail.certworld.loc. Ambos son servidores de correo para
certworld.
11. Mirando a continuación en la Sección Adicional, puede
ver la dirección IP de estos dos servidores de correo.
Registre la dirección IP de ambos servidores de correo:
_______________ _______________
12. Para saber qué sistema es el servidor DNS para
certworld, escriba dig certworld.loc NS . ¿Qué sistema es
el servidor DNS de certworld?
_______________
13. Para realizar una transferencia de zona DNS con dig ,
escriba dig certworld.loc axfr y vea los registros de esta
empresa en el servidor DNS. Es posible que reciba un
mensaje de "transferencia fallida" si las transferencias de
zona se han protegido en el servidor DNS.
Análisis y enumeración Una vez que el pirata
informático ha recopilado las direcciones IP en la fase de
creación de perfiles, el pirata informático pasa a la fase de
análisis. El hacker ahora está realizando un reconocimiento,
pero se considera un reconocimiento activo porque el
hacker en realidad está enviando tráfico a los sistemas de la
organización.
El reconocimiento realizado en la fase deexploración y enumeración se conoce comoreconocimiento activo porque el piratainformático todavía está recopilando información,pero lo hace comunicándose con los sistemas de laorganización.
El objetivo de la fase de escaneo es averiguar qué servicios
se están ejecutando en el sistema al averiguar los números
de puerto que están abiertos en el sistema. Una vez que el
pirata informático descubre los números de puerto que
pirata informático descubre los números de puerto que
están abiertos, el pirata informático capturará un banner
del sistema, que informa la versión del software que se está
ejecutando en ese puerto.La razón por la que el pirata
informático quiere conocer la versión del software es para
poder investigar cómo explotar ese software.
Para averiguar los servicios que se ejecutan en un sistema,
el pirata informático realizará un escaneo de puertos en el
sistema, que informa qué puertos están abiertos. Para hacer
un escaneo de puertos, el hacker usará un programa como
nmap (línea de comando) o SuperScan (basado en
Windows). Por ejemplo, puede usar nmap -sT 10.0.0.1para realizar un escaneo de puertos en el sistema 10.0.0.1.
La Figura 18-6 muestra la salida del comando nmap .
Aprenderá más sobre los análisis de puertos más adelante
en la sección "Herramientas utilizadas".
FIGURA 18-6
Usar nmap para realizar un escaneo de puertos en un
sistema
Una vez que el pirata informático realiza un escaneo de
puertos, realizará una captura de banner. Puede capturar
un banner haciendo telnet a un puerto específico en un
sistema con un comando como telnet 10.0.0.1 25 . En
este ejemplo, se está conectando al puerto 25 en el sistema
10.0.0.1 y, como resultado, el sistema envía un mensaje de
tipo "bienvenida" que muestra la versión del software que
se ejecuta en ese puerto. Observe en la Figura 18-7 que el
servidor ejecuta IIS versión 6.0 en el puerto TCP 80.
FIGURA 18-7
Usar nmap para averiguar la versión del software que se
ejecuta en un puerto
En esta fase del proceso de piratería, el pirata también
puede intentar enumerar el sistema, lo que significa
recopilar más información sobre el sistema. El hacker
puede intentar identificarnombres de computadora,
nombres de usuario o incluso obtener una lista de grupos
del sistema. Se pueden utilizar herramientas como
SuperScan para enumerar el sistema (consulte la Figura 18-
8 ).
FIGURA 18-8
SuperScan se puede utilizar para realizar un escaneo de
puertos o enumerar un sistema.
Obtención de acceso / explotación inicial Una vez
que el pirata informático sepa qué puertos se están
ejecutando en el sistema y la versión del software que se
está ejecutando en esos puertos, investigarán cómo explotar
ese software. Es sorprendente lo fácil que es encontrar
exploits en productos populares; simplemente vaya a
Google, escriba exploit y luego agregue el nombre del
producto que desea explotar.
El pirata informático podría usar cualquier tipo de ataque
para la explotación inicial con el fin de obtener acceso al
sistema, pero los métodos populares para obtener acceso a
s ste a, pe o os étodos popu a es pa a obte e acceso a
un sistema en la actualidad son los ataques de
desbordamiento de búfer y otros tipos de ataques de
inyección.
Una vez que el pirata informático obtiene acceso al sistema,
es posible que deba realizar una escalada del ataque deprivilegios . Este ataque es necesario si el pirata
informático compromete un sistema y no tiene acceso
administrativo al sistema. El hacker podría realizar un
ataque de escalada de privilegios para obtener acceso
administrativo. Hay varias formas en que los piratas
informáticos pueden actuarun ataque de escalada de
privilegios; podrían obtener los hashes de contraseña de la
base de datos SAM del sistema Windows, por ejemplo, o
realizar una inyección de DLL cargando una DLL maliciosa
en el mismo espacio de direcciones que un proceso con
acceso a nivel de sistema.
Mantenimiento del acceso / persistencia Una vez
que el pirata informático ha obtenido acceso al sistema,
quiere asegurarse de poder acceder de nuevo más tarde.
Para garantizar la persistencia , lo que significa que el
pirata informático puede obtener acceso más tarde, el
pirata informático colocará una puerta trasera, como crear
una cuenta administrativa o colocar un rootkit o un virus
troyano en el sistema.
Cubriendo pistas La fase final en el proceso de piratería
es cubrir pistas. El hacker sabe que la mayoría de los
profesionales de seguridad implementarán funciones de
auditoría o registro en el sistema y registrarán cualquier
actividad que se realice. Una vez que el pirata informático
crea la actividad sospechosa, encontrará los archivos de
registro en el sistema y eliminará los archivos o
eliminarálas entradas de los registros que se ocupan de la
actividad del hacker. Es fundamental que proteja los
archivos de registro para asegurarse de que nadie pueda
destruirlos.
El examen Security + no enumera el proceso depiratería como un objetivo, pero es fundamentalcomprender el proceso de piratería al realizar unaprueba de penetración para que pueda ejecutar suspruebas desde el mismo contexto desde el que unpirata informático piratearía la organización.
Descripción general del proceso de prueba depenetración
El punto para comprender el proceso de piratería es que,
como probador de penetración, debe seguir ese proceso
para que su prueba de penetración (prueba de penetración)
sea similar a lo que haría el pirata informático para obtener
acceso. Es importante comprender esto porque es posible
que muchos profesionales de la seguridad no dediquen
tiempo a realizar los pasos en la fase de creación de perfiles,
lo que significa que nunca se sabe qué está exponiendo su
organización en Internet. Un cliente de un curso de
"Hacking ético y contramedidas" tomó repentinamente su
teléfono celular y salió corriendo de la clase para llamar a la
oficina y decirles que sacaran el cable de red del servidor de
intranet; como parte del curso, estaba perfilando el suyo.
empresa y encontró su servidor de intranet en Internet! Si
no hubiera perfilado su empresa,
Al realizar una prueba de penetración, siga el proceso de
piratería y utilice las herramientas utilizadas por los piratas
p y p p
informáticos para realizar una prueba real para ver si los
sistemas pueden verse comprometidos, pero también siga
un plan general sobre cómo realizar la prueba de
penetración. La siguiente es una lista de algunos de los
pasos comunes en una prueba de penetración:
Reunión inicial Comience el proceso reuniéndose
con la gerencia de nivel superior para averiguar el alcance
de lo que les gustaría que hiciera. En este punto, debe
averiguar si está bien realizar todo tipo de pruebas, como
ataques de denegación de servicio, ataques de
desbordamiento de búfer y ataques de contraseña (por
nombrar algunos). Además, en este punto, debe reiterar
que no puede garantizar que no ocurra la denegación de
servicio.
Borradores de documentos legales Después de
la reunión inicial, consulte a un abogado y haga que
redacten un documento legal que indique que puede
realizar la prueba de penetración. Asegúrese de tener el
documento firmado por un representante autorizado de la
organización para la que está realizando la prueba de
penetración.
Cree un plan de prueba de penetración Una vez
que haya firmado el documento, planifique los tipos de
ataques o pruebas que realizará. El propósito de construir
un plan es que seas disciplinado y sigas una metodología en
tu enfoque y no tengas un día de campo pirateando la red
de alguien.
Pruebe el plan de prueba de penetración Pruebe
las herramientas que utilizará para realizar los diferentes
tipos de ataques para asegurarse de que funcionan y para
ver si causarán una denegación de servicio cuando se
ejecuten.
Realice la prueba de penetración En este punto,
se encuentra en el sitio del cliente realizando la prueba de
penetración y siguiendo su plan. Asegúrese de probar los
ataques de craqueo de contraseñas, craqueo inalámbrico y
desbordamiento de búfer. Pruebe también los elementos de
seguridad física y los ataques de ingeniería social contra la
organización. Asegúrese de documentar todo lo que hace,
incluida la hora de inicio y la hora de finalización de cada
paso.
Cree un informe sobre los hallazgos Una vez que
se complete la prueba, cree un informe de sus hallazgos. No
es necesario que incluya su registro de toda la actividad,
pero asegúrese de tenerlo a mano en caso de que tenga que
consultarlo. Debe incluir capturas de pantalla de ataques
exitosos y fallidos en los sistemas junto con
recomendaciones sobre cómo mejorar la seguridad.
Presentar los resultados del informe En esta
fase, se reunirá nuevamente con la gerencia de nivel
superior para informar sus hallazgos y entregarles una
copia del informe. Asegúrese de que el cliente apruebe una
evaluación completa.
Destruya las copias del informe Como paso final,
asegúrese de no tener copias adicionales de la evaluación en
forma impresa o electrónica.
Herramientas utilizadas
Ahora que comprende los pasos a seguir para realizar una
prueba de penetración, echemos un vistazo a algunas de las
herramientas que utilizará para realizar evaluaciones de
seguridad y pruebas de penetración. Seguro que verá
preguntas en el examen Security + relacionadas con qué
herramientas logran qué objetivos
herramientas logran qué objetivos.
Analizador de protocolos / rastreador de paquetes La primera herramienta con la que debe familiarizarse es
un analizador de protocolos, también conocido como
rastreador de paquetes o simplemente rastreador. El
propósito de un programa rastreador es capturar de forma
pasiva el tráfico que viaja por la red para ver o analizar ese
tráfico. El propósito de usar un rastreador al realizar una
evaluación de seguridad es ver si puede capturar la
información confidencial que se envía a la red en texto sin
cifrar. Si descubre que la captura de paquetes contiene
contraseñas u otra información confidencial (consulte la
Figura 18-9 ), debe recomendar que la organización cifre el
tráfico de la red.
FIGURA 18-9
Se puede utilizar un rastreador de paquetes para capturar
información confidencial en la red.
Hace años, cuando trabajábamos para una granempresa nacional, nos dijeron que nuestroscorreos electrónicos estaban encriptados en la red.Después de trabajar en la empresa durante algunosaños, descubrimos que los correos electrónicos enrealidad no estaban cifrados; los administradoresdel servidor pensaban que habían habilitado elcifrado, pero de alguna manera no lo habían hechoni lo habían verificado. Lo descubrimos soloporque algunos de los capacitadores que estabanaprendiendo a monitorear el tráfico encontraroncorreos electrónicos del gerente de la empresa queestaban en tránsito. El uso de un rastreador depaquetes es una excelente manera de verificar quelos datos estén realmente encriptados en tránsito.
Escáneres de red y escáneres de puertos Un
conjunto de herramientas muy importante para los
probadores de seguridad y administradores de red es un
escáner de red y un escáner de puertos . Un escáner de red
puede ayudarlo a trazar un mapa de los sistemas que
existen en la red, lo que se conoce como mapeo de red . Dos
herramientas comunes que podrían usarse para el mapeo
de redes son nmap y Angry IP Scanner. El software de
mapeo de red también se puede utilizar para identificar
sistemas no válidos que se han conectado a la red. Esto se
conoce como detección de sistemas no autorizados .
Las aplicaciones de red como servidores web, servidores
FTP e incluso sistemas con Escritorio remoto habilitado
usan números de puerto a los que se conectan los clientes.
Como profesional de la seguridad, puede ubicar estos
sistemas en la red haciendo un escaneo de puertos en busca
de sistemas con esos puertos abiertos. Los resultados de un
escaneo de puertos le dirán qué puertos están abiertos en
p q p
qué sistemas, y eso debería ayudarlo a evaluar de qué
formas los piratas informáticos podrían comprometer un
sistema porque cada aplicación tiene diferentes exploits en
su contra.
A lo largo de los años, se han desarrollado diferentes tipos
de análisis de puertos. A continuación, se enumeran
algunos de los principales tipos de escaneo de puertos:
Exploración de conexión TCP Una exploraciónde conexión TCP realiza un protocolo de enlace de tres
vías con cada puerto para determinar si el puerto está
abierto. El siguiente comando nmap muestra cómo realizar
un escaneo de conexión TCP en toda la red 192.168.2.0:
Escaneo SYN (medio abierto) Debido a que un
escaneo de conexión TCP realiza un protocolo de enlace
completo de tres vías, crea más tráfico del necesario. Puede
realizar un escaneo SYN, que también se conoce como
escaneo medio abierto porque no completa un protocolo de
enlace completo de tres vías. El software de escaneo envía
un mensaje SYN al puerto y, si el sistema de destino
responde con un SYN-ACK, la conexión se interrumpe. La
idea aquí es que llegó una respuesta, por lo que lo más
probable es que el puerto esté abierto y no es necesario
enviar el mensaje ACK final de un protocolo de enlace de
tres vías. Este escaneo también se conoce como escaneosigiloso porque se genera menos tráfico con la esperanza de
evitar la detección y no está abriendo completamente una
conexión al puerto. El siguiente comando muestra cómo
hacer un escaneo SYN con nmap :
Escaneo inverso Un escaneo inverso recibe su
Escaneo inverso Un escaneo inverso recibe su
nombre porque responde de manera opuesta a lo que cabría
esperar. Con un escaneo inverso, si el puerto está abierto,
no se envía ninguna respuesta, pero si el puerto está
cerrado, se envía un reinicio (RST) (consulte la Figura 18-10
). Los diferentes tipos de escaneos inversos incluyen un
escaneo nulo , que envía un paquete al puerto sin
indicadores establecidos, y un escaneo XMAS , que envía un
paquete con los indicadores PSH, URG y FIN configurados.
Un escaneo FIN envía un paquete con solo el indicador FIN
establecido. Tenga en cuenta que el nombre del escaneo
proviene de las banderas que se han establecido en el
paquete. Los siguientes comandos muestran el escaneo FIN
y el escaneo XMAS que utiliza nmap :
FIGURA 18-10
Los escaneos inversos responden de forma opuesta a lo que
cabría esperar.
Tenga en cuenta que los escaneos inversos no funcionan en
los sistemas Windows y, como resultado, responden sin
puertos abiertos. Normalmente, utilizará escaneos SYN o
escaneos de conexión TCP en redes Windows.
También puede usar nmap para capturar banners, lo que
no solo le indica el puerto que está abierto, sino que
también indica la versión del software que se está
ejecutando en el puerto Nuevamente esto es útil para los
ejecutando en el puerto. Nuevamente, esto es útil para los
piratas informáticos porque entonces sabrán qué exploits
utilizar para comprometer el sistema. Puede utilizar el
siguiente comando nmap para realizar un escaneo de
puertos y averiguar la versión del software que se ejecuta en
los puertos:
Nmap es un programa muy poderoso que tiene muchos
interruptores. Por ejemplo, puede especificar qué puertos
desea escanear usando una -p con nmap y luego
enumerando los puertos separados por comas. También
puede modificar el puerto de origen utilizado para realizar
el escaneo con un -g y especificar el puerto 80 (servidor
web) o el puerto 53 si lo desea. Esto hará que los paquetes
de escaneo aparezcan como si vinieran de un servidor web o
un servidor DNS, que pueden ser puertos abiertos en el
firewall del sistema escaneado. Puede usar el siguiente
comando para ubicar sistemas de escritorio remotos y
servidores SQL en la red y para alterar el puerto de origen
de los paquetes de escaneo para que parezca que provienen
de un servidor web:
Si no es un usuario de la línea de comandos, varias
utilidades de escaneo de puertos están basadas en
Windows. Un popular escáner de puertos basado en
Windows es SuperScan. SuperScan es excelente porque
puede realizar una conexión TCP o un escaneo SYN, le
permite alterar los puertos que desea escanear y captura de
pancartas (encuentra la versión del software que se ejecuta
en el puerto) por usted. Consulte el siguiente ejercicio para
ver cómo utilizar SuperScan.
EJERCICIO 18-2
Usando un escáner de puertos
En este ejercicio, utilizará nmap y SuperScan para realizar
un escaneo de puertos en la red y para averiguar qué
puertos están abiertos en los sistemas de la red.
Usando nmap
En esta parte del ejercicio, Kali Linux realizará un escaneo
de puertos en la red 10.0.0.0.
1. Asegúrese de que los servidores Windows, un cliente
Windows y las VM Kali Linux estén iniciadas.
2. Vaya a la VM Kali Linux y luego abra una terminal
(símbolo del sistema). Esto se puede hacer haciendo clic
con el botón derecho en el escritorio y eligiendo Abrir
terminal (usando un método diferente al del Ejercicio 18-1
paso 1).
3. Para realizar un escaneo de conexión TCP en el sistema
10.0.0.3, escriba
4. Para realizar un escaneo de conexión TCP y especificar
que desea escanear los puertos 21, 25 y 80, escriba
5. Para realizar un escaneo SYN y especificar que desea
escanear los puertos 21, 25 y 80, escriba
6. ¿Cuál es la diferencia entre un escaneo de conexión TCP y
un escaneo SYN?
___________________________________________________
___________________________________________________
7. Para realizar un escaneo SYN en toda la red 10.0.0.0 para
ubicar cualquier máquina que esté ejecutando Escritorio
remoto, escriba
8. ¿Qué sistemas tienen habilitado el Escritorio remoto?
___________________________________________________
___________________________________________________
Escaneo con SuperScan en Windows
En esta parte del ejercicio, descargará SuperScan y lo
ejecutará para realizar un escaneo de puertos en la red
utilizando un programa de Windows.
9. Descargue SuperScan desde
https://www.mcafee.com/us/downloads/free-
tools/superscan.aspx#
(http://https://www.mcafee.com/us/downloads/free-tools/superscan.aspx#) .
10. Ejecute SuperScan haciendo clic con el botón derecho
en el archivo SuperScan4.1.exe y seleccionando Ejecutar
como administrador. Una vez que se abra el cuadro de
diálogo, escanee el puerto con las siguientes direcciones:
IP inicial: 10.0.0.1
IP final: 10.0.0.200
11. Agregue las direcciones IP inicial y final IP en el lado
izquierdo de la pantalla y luego haga clic en el botón de
flecha derecha para agregar el rango de IP a la lista de
sistemas para escanear. Inicie el escaneo de puertos
haciendo clic en el botón Iniciar en la parte inferior.
12. Cuando se complete el escaneo, revise los resultados
HTML. Aquí aparece una muestra de los resultados HTML
(es posible que tenga diferentes puertos abiertos).
13. Enumere tres puertos que están en el sistema 10.0.0.1:
___________________________________________________
14. Enumere tres puertos que están en el sistema 10.0.0.3:
___________________________________________________
15. ¿Hay puertos UDP en el sistema 10.0.0.1?
___________________________________________________
16 ¿Hay puertos UDP en el sistema 10 0 0 3?
16. ¿Hay puertos UDP en el sistema 10.0.0.3?
___________________________________________________
Escáner / Cracker inalámbrico Un conjunto común
de herramientas que se utilizan en las redes actuales es un
escáner inalámbrico y un cracker inalámbrico. Un escáner
inalámbrico es una herramienta que se puede utilizar para
descubrir redes inalámbricas dentro del alcance y sus
características. Por ejemplo, con un escáner inalámbrico
puede ver el nombre SSID, el canal, el tipo de cifrado que se
está utilizando (WEP / WPA2) y la intensidad de la señal.
Algunos ejemplos de escáneres inalámbricos son Acrylic
WiFi para Windows y Kismet para Linux.
Un cracker inalámbrico es una herramienta que se utiliza
para descifrar la clave de cifrado en una red inalámbrica
protegida WEP o WPA2. Existen herramientas como
Aircrack-ng que se pueden utilizar para descifrar el cifrado
inalámbrico una vez que se ha capturado suficiente tráfico.
Consulte el ejercicio del Capítulo 9 para ver cómo se utilizan
estas herramientas.
Escáner de vulnerabilidades Un escáner de
vulnerabilidades es bastante diferente de un escáner de
puertos. El escáner de vulnerabilidades escaneará el
sistema en busca de vulnerabilidades conocidas y luego
informará los problemas que se hayan encontrado. El
escáner de vulnerabilidades basa las decisiones en una base
de datos de vulnerabilidades que se actualiza
constantemente. Cuando realiza el análisis, el analizador de
vulnerabilidades compara el nivel de parche y la
configuración de su (s) sistema (s) con la base de datos de
vulnerabilidades para ver si no está siguiendo las mejores
prácticas (tiene vulnerabilidades).
Puede utilizar cualquiera de una serie de piezas de software
para realizar un análisis de vulnerabilidad de un sistema o
red. A continuación, se enumeran algunos de los escáneres
de vulnerabilidades más populares:
MBSA Microsoft Baseline Security Analyzer (consulte
la Figura 18-11 ) es un escáner de vulnerabilidades gratuito
que puede descargar y que evalúa el nivel de parche y la
configuración de los productos de Microsoft.
FIGURA 18-11
Un escáner de vulnerabilidades se utiliza para identificar
debilidades en la configuración de un sistema.
LanGuard LanGuard es un producto comercial
creado por GFI que escanea toda la red e informa de
parches faltantes, puertos abiertos y configuraciones
incorrectas del sistema.
Nessus Nessus es un escáner de vulnerabilidades
popular que ha existido durante años y se puede utilizar
para escanear la red para identificar vulnerabilidades y
parches que faltan en los sistemas.
Honeypot Otro método popular para evaluar la
seguridad es tener un honeypot configurado en la red. Un
honeypot es un sistema que se coloca en la red para atraer
al pirata informático en lugar de que el pirata informático
piratee uno de sus sistemas de producción. El objetivo
principal del honeypot es ganar algo de tiempo si el hacker
ha obtenido acceso a la red.
Es fundamental que configure el honeypot como cualquier
otro sistema y asegúrese de seguir las mejores prácticas de
seguridad para fortalecer y proteger el sistema. Algunos
profesionales de TI creen que el honeypot debería ser fácil
de penetrar, pero si es demasiado fácil, el hacker
sospechará que es un honeypot. ¡También querrás que sea
difícil entrar en el honeypot porque al hacker le tomará más
tiempo entrar y te dará más tiempo para detectar al intruso!
Asegúrese de que el honeypot tenga un alto nivel de
auditoría y registro habilitado para que pueda capturar
todas las actividades realizadas por el pirata informático.
Para proteger los registros, escríbalos en un sistema remoto
y asegúrelos en todo momento.
Los honeypots son una excelente manera de estaral tanto de los exploits de día cero. Un exploit dedía cero es un exploit que se desconoce y es difícilde proteger porque no se sabe que existe. Cuandoconfigura un honeypot y el hacker utiliza el exploitde día cero, los archivos de registro del honeypot loeducan.
Honeynet Una honeynet es muy parecida a un
h t l tid d tá di ñ d t l
honeypot en el sentido de que está diseñada para atraer al
pirata informático, pero una honeynet es una red completa
de sistemas falsos que rastrearán la actividad del pirata
informático.
Herramientas pasivas vs activas Hay diferentes tipos
de herramientas para realizar pruebas de seguridad en un
sistema; hay herramientas pasivas y herramientas activas.
Las herramientas pasivas no intentan conectarse a un
sistema, mientras que las activas sí lo hacen. Un ejemplo de
una herramienta de escaneo pasivo es la creación de perfiles
de DNS,donde el pirata informático solo recopila
información sobre una empresa de un servidor DNS, no del
objetivo previsto real, que es el servidor web o FTP. Un
ejemplo de una herramienta activa es un escáner de
puertos, ya que se comunica con el sistema víctima previsto.
Dado que las herramientas activas se comunican con el
objetivo previsto, existe la posibilidad de que se pueda
detectar el tráfico.
Captura de pancartas Después de que se realiza un
escaneo de puertos y usted determina qué puertos están
abiertos, a continuación, determinará qué software abrió el
puerto para poder planificar cómo explotar ese software
durante su prueba de penetración. Para determinar qué
software se está ejecutando en cada puerto abierto, puede
hacer una captura de banner, lo que significa conectarse a
cada puerto y recopilar la respuesta del servidor. Cuando se
conecta a un servidor, normalmente responde con un
mensaje de listo que indica la versión del software que se
ejecuta en el sistema.
Kali Linux / BackTrack Aunque no es un objetivo del
examen Security +, tenga en cuenta que Kali Linux,
anteriormente conocido como BackTrack, es una
herramienta de prueba de penetración. En mi experiencia,
es una de las mejores distribuciones de seguridad que le
brinda seguridad y herramientas de piratería ya instaladas.
Kali Linux incluye herramientas para descifrar contraseñas,
descifrar el cifrado inalámbrico y realizar pruebas pasivas
como la creación de perfiles de DNS y la investigación de
una empresa. Lo bueno de Kali Linux es que cuando
observa el sistema de menús, el software está organizado
para seguir el proceso de piratería (consulte la Figura 18-12
).
FIGURA 18-12
Kali Linux es el sueño de un probador de penetración
porque tiene una serie de herramientas de seguridad
preinstaladas.
Los siguientes son algunos de los beneficios clave de
realizar una prueba de penetración:
Verifique que existe una amenaza Con una prueba
de penetración, está realizando el ataque real a los sistemas,
por lo que no hay mejor prueba de que existe la amenaza si
su ataque simulado tiene éxito.
Evite y pruebe activamente los controles deseguridad Con una prueba de penetración, está
probando contra sistemas que han sido asegurados, por lo
que el probador de penetración deberá evitar estos
controles de seguridad como lo haría un pirata informático.
Esto le permitirá saber si sus soluciones de seguridad son
tan efectivas como parecen en papel.
Explotación de vulnerabilidades Con una prueba
de penetración, está explotando activamente las
vulnerabilidades de un sistema para ver si el sistema es
seguro. Una evaluación de la vulnerabilidad solo indica que
la vulnerabilidad existe, pero una verdadera prueba sería
ver si la vulnerabilidad representa un riesgo.
Para el examen, recuerde que si la política deseguridad establece que las pruebas de seguridadno pueden usar ataques en vivo o pruebas activas,deberá mantenerse alejado de las pruebas depenetración y buscar el análisis devulnerabilidades.
Otras herramientas de evaluación
Existen otras herramientas de evaluación de la seguridad
que puede utilizar para realizar una evaluación de la
seguridad. A continuación, se describen varios tipos
diferentes de herramientas que puede buscar:
Escáner de cumplimiento de configuración Un
escáner de cumplimiento de configuración es una
herramienta que puede verificar la configuración de un
sistema o área del sistema. Por ejemplo, Nikto es una
herramienta de evaluación de vulnerabilidades de código
abierto para servidores web que puede identificar errores de
abierto para servidores web que puede identificar errores de
configuración del servidor web y vulnerabilidades
basándose en una base de datos de fallas conocidas.
Marcos de explotación Una herramienta de
evaluación común para los pen-testers son los marcos de
explotación, que tienen una serie de herramientas para
explotar las fallas dentro de diferentes productos. Ejemplos
comunes de marcos de explotación son el marco de
auditoría y ataque de aplicaciones web (w3af) y Metasploit.
Herramientas de desinfección de datos Puede
utilizar herramientas de desinfección de datos para
asegurarse de que todos los datos se borren de forma segura
de las unidades. Este es un paso importante a la hora de
deshacerse de las unidades o utilizarlas como destino de
una imagen forense.
Herramientas de esteganografía Lasherramientas de esteganografía se utilizan para ocultar
información dentro de imágenes u otros tipos de archivos
como MP3.
Utilidades de respaldo Debe usar herramientas de
respaldo para respaldar el estado de un sistema antes de
realizar una prueba de penetración en ese sistema. Esto le
permitirá recuperar el sistema si algo sale mal con la prueba
de lápiz.
Herramientas de línea de comandos Hay una
serie de herramientas de línea de comandos que puede usar
para verificar el estado de un sistema:
ping Se utiliza para probar la conectividad con un
sistema remoto. El uso es ping 192.168.1.1 .
netstat Se utiliza para ver una lista de puertos que
están abiertos en un sistema o ver quién está conectado a
ese sistema. Para ver todos los puertos abiertos, use
netstat -na .
tracert Se utiliza para rastrear la ruta que toma un
paquete en la red. Cuando el paquete llega a un enrutador,
se envía una respuesta que le permite saber cuántos
enrutadores atraviesa el paquete. El uso es tracertwww.gleneclarke.com (http://www.gleneclarke.com) .
herramientas de búsqueda de DNS nslookup / dig ;
nslookup es común en sistemas Windows y Linux,
mientras que dig se encuentra en sistemas Linux.
arp Se utiliza para mostrar y administrar el contenido
de la caché ARP en el sistema local.
ipconfig / ifconfig Se utiliza para mostrar la
configuración de TCP / IP en un sistema Windows o Linux,
respectivamente.
tcpdump Un comando de Linux que se utiliza para
capturar tráfico.
nmap Se utiliza como mapeador de redes o escáner
de puertos.
netcat Se utiliza para abrir un puerto en un sistema y
ejecutar un proceso en ese puerto.
REALIZACIÓN DE UNA EVALUACIÓN DEVULNERABILIDAD
Otro tipo de prueba de seguridad que puede realizar en
lugar de una prueba de penetración es una evaluación de
vulnerabilidad. Una evaluación de vulnerabilidad se
considera un tipo de evaluación pasiva porque en realidad
no está simulando ataques contra el sistema Con la
no está simulando ataques contra el sistema. Con la
evaluación de vulnerabilidades, está buscando identificar
cualquier debilidad en la configuración de la red y sus
sistemas y no está interesado en probar esas debilidades
para ver si puede comprometer los sistemas.
Cuando la gerencia le pide que evalúe la seguridad, pero no
se siente cómodo con el hecho de que ejecutará
herramientas de piratería contra los sistemas, debe realizar
una evaluación de vulnerabilidades. El beneficio principal
es que es un tipo de evaluación seguro sin riesgo de crear
una denegación de servicio en los sistemas.
Realizar una evaluación manual
Al realizar una evaluación de vulnerabilidades, recomiendo
primero hacer una evaluación manual de la red y sus
sistemas. Con la evaluación manual, básicamente está
realizando una evaluación de la configuración y verificando
la configuración de la red y los servidores. En esta
evaluación manual, buscará asegurarse de que se sigan las
mejores prácticas, como asegurarse de que cada sistema
tenga una política de contraseñas y de que se esté utilizando
un software de protección antivirus. Tenga en cuenta que,
en una red grande, esto podría llevar mucho tiempo, por lo
que es fundamental que tenga una lista de verificación. La
siguiente es una breve lista de algunas de las cosas que
buscaría al realizar una evaluación manual:
La lista anterior no es de ninguna manera una lista de
La lista anterior no es de ninguna manera una lista de
verificación completa de todo lo que se debe tener en cuenta
al realizar una evaluación manual, pero le da una idea de los
tipos de ajustes de configuración que debe buscar. Como
mencioné, realizar una evaluación manual llevaría mucho
tiempo, por lo que es probable que la evaluación sea
automatizada.
Realizar una evaluación automatizada
Cuando realiza una evaluación de vulnerabilidades, es más
probable que utilice software de evaluación de
vulnerabilidades como LanGuard o Nessus. Estos son dos
de los productos líderes para la evaluación de
vulnerabilidades, ¡y definitivamente le quitan mucho
trabajo! Para esta discusión, usaré GFI LanGuard para
demostrar la utilidad de un escáner de vulnerabilidades.
Realización del escaneo Cuando se usa un escáner de
vulnerabilidades como MBSA, Nessus o LanGuard, lo
primero que debe comprender es que estas herramientas
ayudan a automatizar el proceso de realizar un escaneo de
vulnerabilidades al escanear múltiples sistemas y comparar
la configuración del sistema con una base de datos de
vulnerabilidades.
Al realizar su escaneo de vulnerabilidades, le recomiendo
que realice el escaneo dos veces: una como un escaneo nulo
(no se ha autenticado en la red porque no conoce el nombre
de usuario y la contraseña de una cuenta), y la otra como un
escaneo con un cuenta administrativa. El propósito de
realizar el escaneo dos veces es asegurarse de que el primer
escaneo le permita comprender lo que "nadie" vería acerca
de su red si pudiera conectarse físicamente a su red, y el
segundo escaneo le permite conectarse a todos los sistemas
con un administrador cuenta para que pueda obtener una
evaluación completa de la configuración. El siguiente
ejercicio le mostrará cómo realizar un análisis con GFI
ejercicio le mostrará cómo realizar un análisis con GFI
LanGuard.
EJERCICIO 18-3
Realización de un análisis de vulnerabilidades con MBSA
En este ejercicio, descargará, instalará y ejecutará un
escáner de seguridad conocido como Microsoft Baseline
Security Analyzer (MBSA). El escáner de seguridad le
avisará cuando no se sigan las mejores prácticas de
seguridad, como falta de parches o demasiadas cuentas
administrativas. Empecemos.
1. Descargue MBSA de https://www.microsoft.com/en-
ca/download/details.aspx?id=7558
(http://https://www.microsoft.com/en-ca/download/details.aspx?id=7558) e
instálelo en su máquina virtual con Windows 8.1.
2. Una vez que esté instalado, haga doble clic en el acceso
directo de Microsoft Baseline Security Analyzer en el
escritorio.
3. Una vez que se inicia el software, puede optar por
escanear el sistema local o varias computadoras (a la
izquierda). En este ejemplo, escaneará el sistema local
seleccionando Escanear una computadora.
4. A continuación, se le solicitará el nombre de la
computadora o la dirección IP del sistema que desea
escanear. También se le solicitarán los tipos de
vulnerabilidades que debe verificar. Asegúrese de que el
nombre de su computadora esté seleccionado y luego haga
clic en el botón Iniciar escaneo en la parte inferior.
5. Una vez que se completa el análisis, puede desplazarse
por la lista de vulnerabilidades.
6. Haga clic en Aceptar para cerrar los resultados del
análisis después de leerlos.
7. Como práctica adicional, escanee varias computadoras
proporcionando el rango de 10.0.0.1 a 10.0.0.200 y luego
revise los resultados del escaneo.
Interpretación de los resultados Una vez que haya
completado el análisis de vulnerabilidades, es fundamental
que dedique algún tiempo a revisar los resultados para
llegar a un diagnóstico de si los sistemas son seguros. Si los
sistemas no son seguros, deberá hacer recomendaciones
sobre lo que se puede hacer para mejorar la seguridad. A
continuación, se describen algunas de las posibles acciones
a tomar para mejorar la seguridad:
Desinstalar software El escáner de
vulnerabilidades puede volver después de un escaneo y
hacerle saber que tiene un software instalado que es
propenso a sufrir ataques. Puede optar por desinstalar el
software si no se está utilizando o parchearlo si se está
utilizando.
Desactivar servicios El escáner de vulnerabilidades
puede identificar servicios comunes que se están ejecutando
l l l tili E t
y que, por lo general, las empresas no utilizan. En este caso,
deshabilitará estos servicios y establecerá su tipo de inicio
en Deshabilitado.
Actualice parches La mayoría de los programas de
evaluación de vulnerabilidades buscan parches que faltan.
Esté preparado para descubrir que le faltan algunos parches
y es posible que deba probarlos e instalarlos.
Cambiar la configuración El software de
evaluación de vulnerabilidades puede identificar algunos
errores de configuración comunes en los sistemas. Como
resultado, normalmente revisará la configuración y la
cambiará para mejorar la seguridad del sistema.
Los siguientes son algunos puntos clave para recordar sobre
las evaluaciones de vulnerabilidad para el examen de
certificación Security +:
Prueba pasiva de controles de seguridad A
diferencia de una prueba de penetración (prueba activa),
una evaluación de vulnerabilidad se considera una prueba
pasiva porque en realidad no intenta comprometer el
sistema.
Identificar la vulnerabilidad Una evaluación de la
vulnerabilidad identificará las áreas de la red y el sistema
donde usted es vulnerable a un ataque.
Identificar la falta de controles de seguridad Una evaluación de vulnerabilidades identificará los
controles de seguridad que faltan. Por ejemplo, identificará
si no ha configurado permisos en una carpeta o si no tiene
un firewall instalado en un sistema.
Identificar errores de configuración comunesUno de los elementos más importantes que puede
identificar un escáner de vulnerabilidades es que usted ha
configurado mal el sistema y, como resultado, ha provocado
que el sistema esté más abierto a los ataques.
RESUMEN DE CERTIFICACION
En este capítulo, aprendió a realizar evaluaciones de
seguridad y que hay dos tipos principales de evaluaciones:
una prueba de penetración y una evaluación de
vulnerabilidad. Los siguientes son algunos puntos clave que
debe recordar al prepararse para el examen Security +:
Se pueden realizar diferentes tipos de evaluaciones,
como una evaluación de amenazas, una evaluación de la
configuración, un escaneo de vulnerabilidades o una prueba
de penetración.
Una prueba de penetración se considera una prueba
activa porque en realidad está intentando comprometer el
sistema y evitar los controles de seguridad. La evaluación de
vulnerabilidades es una prueba pasiva que simplemente
identifica problemas de seguridad con la configuración del
sistema.
Puede utilizar herramientas como Kali Linux /
BackTrack, Metasploit y Cain & Abel para realizar pruebas
de penetración.
Puede utilizar muchas técnicas diferentes para
determinar los problemas de seguridad. Puede revisar el
código de una aplicación que haya creado su empresa, una
revisión del diseño de una solución que cree para
asegurarse de que cumpla con los requisitos iniciales o una
revisión de la arquitectura de un sistema para asegurarse de
que sea un entorno seguro.
Una prueba de penetración debe seguir los pasos de un
proceso de piratería.
Asegúrese de que todas las partes hayan redactado y
firmado un documento legal que le otorgue permiso para
realizar una prueba de penetración.
Puede utilizar una serie de herramientas, como un
escáner de puertos, un rastreador de redes, un escáner de
vulnerabilidades, escáneres inalámbricos, crackers
inalámbricos y un honeypot para realizar una evaluación.
Con una sólida comprensión del material presentado en
este capítulo, no tendrá problemas con las preguntas de
evaluación de seguridad de su examen. El material que se
presenta aquí no solo es importante para el examen, sino
que también lo será después de aprobar el examen y
continuar con una carrera como profesional de la
seguridad.
SIMULACRO DE DOS MINUTOS
Comprensión de los tipos de evaluaciones
La evaluación de riesgos implica identificar los activos,
identificar las amenazas contra esos activos, priorizar las
amenazas y luego determinar cómo mitigar esas amenazas.
Una evaluación de la configuración implica revisar la
configuración del sistema e identificar áreas de
preocupación de seguridad. Esto podría ser parte de una
vulnerabilidad manual.evaluación. Una evaluación de
vulnerabilidades generalmente implica la ejecución de
software que identifica los problemas de seguridad, como
parches faltantes o configuración deficiente.
Una prueba de penetración es una prueba activa en la
que el evaluador intenta comprometer el sistema evitando
los controles de seguridad. Se debe redactar y firmar un
documento legal que le dé permiso para realizar la prueba
de penetración.
Una prueba de caja negra implica que realice una
evaluación de seguridad cuando no se le proporciona
información sobre el entorno, mientras que una prueba de
caja blanca implica que realice una evaluación en la que se
le han proporcionado todos los detalles de la configuración
y la configuración de la red.
Se debe realizar una revisión del código en cualquier
aplicación que cree su empresa.
Realización de una evaluación de seguridad
Al realizar una prueba de penetración, debe seguir las
fases del proceso de piratería: creación de perfiles, escaneo
y enumeración, obtención de acceso, mantenimiento de
acceso y cobertura de pistas.
Al realizar una prueba de penetración, asegúrese de
determinar y establecer expectativas en la reunión inicial.
Por ejemplo, averigüe si los ataques de denegación de
servicio están permitidos durante la prueba de penetración.
Los analizadores de protocolos / rastreadores de red se
utilizan para capturar el tráfico y ver el contenido de los
paquetes que viajan por la red.
Los escáneres de puertos identifican qué puertos están
abiertos en un sistema. Esto le ayuda a determinar qué
software se está ejecutando en un sistema. Recuerde que un
puerto abierto en un sistema está dispuesto a aceptar
tráfico, por lo que debe vigilar de cerca los puertos abiertos.
Puede utilizar un escáner inalámbrico para evaluar su
red inalámbrica; por ejemplo, puede identificar redes
inalámbricas, sus SSID, canales y tipo de cifrado que se
están utilizando.
Un honeypot es un sistema que se ha configurado para
alejar al pirata informático de los sistemas de producción y
acercarlo al honeypot. Usted configura el honeypot
teniendo en cuenta las mejores prácticas de seguridad y
también se asegura de que se configure un alto nivel de
auditoría y registro. Una Honeynet es una red completa que
se ha configurado para alejar al pirata informático de la red
real y registrar la actividad.
El escaneo de vulnerabilidades es una prueba pasiva que
identifica vulnerabilidades en el sistema, como parches
faltantes o configuración deficiente.
AUTOTEST
Las siguientes preguntas le ayudarán a medir su
comprensión del material presentado en este capítulo.
Como se indicó, algunas preguntas pueden tener más de
una respuesta correcta, así que asegúrese de leer todas las
opciones de respuesta con atención.
Comprensión de los tipos de evaluaciones
1 . ¿Cuál de los siguientes tipos de pruebas se considera
un método activo para probar la seguridad?
A. Evaluación de la vulnerabilidad
B. Prueba de penetración
C. LanGuard
D. Evaluación de riesgos
2 . Su empresa ha creado aplicaciones web basadas en
datos durante los últimos seis meses para uso interno. Estas
aplicaciones están diseñadas para garantizar que los
usuarios estén autenticados antes de permitirles ver o
modificar datos en la aplicación. ¿Qué tipo de evaluación
recomendaría como evaluación pasiva?
Un riesgo
B. Amenaza
C. Prueba de penetración
D. Revisión del código
3 . Su gerente le ha pedido que evalúe la seguridad de la
red y no está dispuesto a aceptar ningún tipo de ataque
contra los sistemas de producción. ¿Qué tipo de evaluación
de seguridad recomendaría?
A. Prueba de penetración
B. Revisión de diseño
C. Evaluación de la vulnerabilidad
D. Revisión del código
4 . ¿Qué tipo de evaluación implica identificar los activos
y las amenazas contra esos activos?
A E l ió d i
A. Evaluación de riesgos
SI. Revisión de código
C. Revisión de diseño
D. Prueba de penetración
5 . Su gerente le ha pedido que realice una prueba de
penetración en cinco servidores. ¿Qué es lo primero que
debe hacer después de reunirse con su gerente para
comprender qué tipos de ataques son aceptables?
A. Rompe las contraseñas.
B. Redactar un documento legal.
C. Pruebe el plan.
D. Ataques de desbordamiento de búfer.
Realización de una evaluación de seguridad
6 . ¿Cuál de las siguientes herramientas le ayudará a
identificar qué servicios se están ejecutando en el sistema?
A. Honeynet
B. Sniffer
C. Escáner de puerto
D. Honeypot
7 . Ha configurado un sistema para usarlo como
honeypot y se ha asegurado de haber configurado la
seguridad en el sistema para que no sea demasiado fácil
para un hacker entrar. ¿Qué más debería configurar en el
honeypot?
A. Tener una contraseña en blanco en la cuenta
administrativa.
B. Configure un virus troyano.
C. Abra puertos adicionales en el sistema.
D. Habilite el registro.
8 . Desea evaluar las contraseñas que se utilizan en la
red y ver lo fácil que es descifrar las contraseñas de los
usuarios. ¿Qué herramienta usarás?
A. Juan el Destripador
B. nmap
C. LanGuard
D. Nessus
9 . ¿Cuáles de las siguientes herramientas se consideran
herramientas pasivas?
A. Juan el Destripador
B. nmap
C. Caín y Abel
D. Sniffer
10 . Su gerente acaba de enterarse de un nuevo exploit
contra los servidores SQL y le gustaría ubicar los servidores
SQL en la red 192.168.2.0. ¿Cuál de las siguientes opciones
lograría este objetivo?
A. ping -t 192.168.2.0
B. nmap -sS 192.168.2.0/24 -p 1433
C. usted www.gleneclarke.com (http://www.gleneclarke.com)
D. nmap -sS 192.168.2.0/24 -p 3389
11 . Un análisis de vulnerabilidades se considera un
método de evaluación seguro porque utiliza ¿qué tipo de
prueba?
A. Activo
B. Intrusivo
C. Pasivo
D. Prueba de penetración
12 . ¿Cuál de las siguientes herramientas se puede utilizar
para descifrar contraseñas en un sistema al realizar una
prueba de penetración?
A. Caín y Abel
B. cavar
C. nmap
D. nslookup
13 . ¿Cuál es el término utilizado para un grupo de
sistemas que se han configurado para alejar al pirata
informático de los sistemas de producción?
A. Honeypot
B. LAN
C. DMZ
D. Honeynet
14 . Su gerente ha contratado a un consultor para realizar
una prueba de penetración. Ella le pide que no le dé al
probador ningún detalle de la empresa o la configuración.
¿Qué tipo de prueba busca haber realizado?
A. Caja blanca
B. Caja negra
C. Caja gris
D. Caja de Juke
15 . ¿Cuál de los siguientes es un conjunto de
herramientas de prueba de penetración que tiene
herramientas de piratería preinstaladas para su uso durante
una prueba de penetración?
A. LanGuard
B. Nessus
C. BackTrack
D. MBSA
Pregunta basada en el desempeño
16 . Usando la siguiente exhibición, haga coincidir la
característica de la izquierda con el tipo de escaneo que se
muestra a la derecha.
RESPUESTAS DEAUTOEVALUACIÓN
Comprensión de los tipos de evaluaciones
1 . B. Las pruebas de penetración se consideran
pruebas activas porque está realizando ataques reales a los
sistemas y tratando de comprometer los controles de
seguridad.
A, C y D son incorrectos. El escaneo o evaluación de
vulnerabilidades se conoce como un método pasivo de
realizar una evaluación porque en realidad no está tratando
de comprometer los controles de seguridad del sistema.
LanGuard es un ejemplo de escáner de vulnerabilidades. La
evaluación de riesgos también es pasiva porque solo
enumera las amenazas contra el sistema y averigua cómo
mitigar esas amenazas.
2 . D. Siempre que su empresa desarrolle una
aplicación, asegúrese de realizar una revisión del código
para asegurarse de que no haya ningún código inseguro en
para asegurarse de que no haya ningún código inseguro en
la aplicación. Está comprobando para asegurarse de que los
desarrolladores validen la entrada y no creen puertas
traseras a la aplicación.
A, B y C son incorrectos. Una evaluación de riesgos
implica identificar los activos, las amenazas contraesos
activos y luego planificar cómo mitigar esas amenazas. Una
evaluación de amenazas es parte de la evaluación de riesgos
(análisis). Una prueba de penetración intenta activamente
eludir los controles de seguridad de un sistema.
3 . C. Si no se le permite intentar poner en peligro
un sistema pasando por alto los controles de seguridad del
sistema, realice un análisis de vulnerabilidades para
identificar los parches faltantes o los errores de
configuración dentro de un sistema.
A, B y D son incorrectos. Una prueba de penetración
implica intentar piratear el sistema para determinar la
seguridad de un sistema, y en este caso, se indicó que este
tipo de acción no está permitida. Una revisión de diseño
implica revisar los requisitos de una solución para
garantizar que la solución cumpla con las demandas. Una
revisión de código implica revisar el código de la aplicación
para verificar que el código se desarrolló de forma segura.
4 . R. Una evaluación de riesgos implica identificar
los activos, las amenazas contra esos activos y cómo mitigar
esas amenazas.
B, C y D son incorrectos. Una revisión de código
implica revisar el código de la aplicación para verificar que
el código se desarrolló de forma segura. Una revisión de
diseño implica revisar los requisitos de una solución para
garantizar que la solución cumpla con las demandas. Una
prueba de penetración implica intentar piratear el sistema
para determinar la seguridad de un sistema.
5 . B. Antes de hacer cualquier cosa que se relacione
con la prueba de penetración, primero debe averiguar el
alcance de lo que debe hacerse y luego hacer que un
abogado redacte un documento legal que indique que tiene
permiso para realizar tales acciones. El documento debe
estar firmado por la gerencia de nivel superior de la
empresa que le solicita que realice la prueba de
penetración.
A, C y D son incorrectos. Aunque eventualmente
creará un plan de prueba y lo más probable es que realice
algunos ataques de desbordamiento de búfer y descifrado
de contraseñas, primero necesita la aprobación firmada de
la administración.
Realización de una evaluación de seguridad
6 . C. Los escáneres de puertos identifican qué
puertos están abiertos, lo que ayuda a determinar qué
servicios se están ejecutando en un sistema. Por ejemplo, si
el puerto 80 está abierto en un sistema, sabrá que se está
ejecutando el software del servidor web.
A, B y D son incorrectos. Una honeynet es una red
falsa creada para alejar a un pirata informático de la red
real. Un rastreador es una herramienta pasiva que captura
el tráfico de la red, y un honeypot es un sistema falso que
alejará al pirata informático de los sistemas de producción y
registrará todos los pasos que el pirata informático sigue
para piratear el sistema.
7 . D. Es fundamental que el honeypot tenga
habilitada la auditoría y el registro para que pueda registrar
toda la actividad del pirata informático. Es una buena
práctica asegurarse de que los registros se almacenen en
una ubicación segura para que el pirata informático no
pueda eliminar o borrar entradas de los registros.
A, B y C son incorrectos. No debe tomar medidas para
hacer que el honeypot sea menos seguro de lo que sería un
sistema normal, porque el hacker sospechará que es un
honeypot.
8 . R. Utilizará un descifrador de contraseñas como
John the Ripper o Cain & Abel para descifrar contraseñas.
B, C y D son incorrectos. nmap (mapeador de red) es
un escáner de puertos que identifica los puertos abiertos en
un sistema. LanGuard y Nessus son ejemplos de
exploradores de vulnerabilidades.
9 . D. Una herramienta pasiva no crea actividad en
un sistema. El único ejemplo de una herramienta que no
crea actividad en un sistema en la lista de opciones es un
rastreador de redes.
A, B y C son incorrectos. John the Ripper y Cain &
Abel son herramientas de ataque de contraseñas, mientras
que nmap es un escáner de puertos, todos los cuales crean
actividad en un sistema.
10 . B. Puede utilizar un escáner de puertos como
nmap para localizar servicios específicos en la red. En este
ejemplo, desea ubicar los servidores SQL, que escuchan en
el puerto 1433 de forma predeterminada.
A, C y D son incorrectos. Ping es una utilidad de TCP
/ IP que prueba la conectividad a un sistema remoto. Dig es
un ejemplo de una herramienta de creación de perfiles de
DNS que consulta a DNS en busca de datos de DNS.
Aunque la opción D usa nmap , busca el puerto incorrecto:
el puerto 3389 es el puerto del escritorio remoto y no SQL
Server.
11 . C. Las pruebas de seguridad pasivas significan
que en realidad no está tratando de eludir los controles de
seguridad, sino que simplemente está observando el estado
del sistema o el entorno para evaluar la seguridad. Los
escáneres de vulnerabilidades evalúan el nivel de seguridad
sin intentar eludir la seguridad del sistema.
A, B y D son incorrectos. Las pruebas activas son
intrusivas en el sentido de que una prueba activa intenta
comprometer la seguridad al intentar eludir los controles de
seguridad y piratear el sistema. Las pruebas de penetración
utilizan técnicas de evaluación activa.
12 . R. El programa Cain & Abel se utiliza para
realizar ataques a contraseñas cuando se realiza una prueba
de penetración o se evalúa la complejidad de la contraseña.
B, C y D son incorrectos. Dig y nslookup son
herramientas de creación de perfiles de DNS, mientras que
nmap es un escáner de puertos.
13 . D. Una honeynet es un grupo de sistemas que se
utilizan para crear una red falsa para atraer al atacante a
esa red. El objetivo es mantener ocupado al pirata
informático en la Honeynet mientras registra toda la
actividad y se gana algo de tiempo para detectar al pirata
informático y evitar que comprometa los sistemas de
producción
producción.
A, B y C son incorrectos. Un honeypot es un sistema
que está configurado para atraer a un pirata informático y
hacer que el pirata informático active alarmas para notificar
al administrador de la presencia del pirata informático. Por
lo general, colocará un honeypot en la DMZ (no en su LAN),
pero la DMZ no es el honeypot o la honeynet en sí.
14 . B. Una prueba de caja negra implica no darle al
evaluador ningún detalle sobre la configuración de la red,
como nombres de computadoras, direcciones IP o servicios
en ejecución.
A, C y D son incorrectos. Una prueba de caja blanca
implica darle al probador de seguridad todos los detalles
sobre la configuración del entorno, mientras que una
prueba de caja gris implica darle al probador una pequeña
cantidad de detalles, como la dirección IP utilizada por la
empresa. Una máquina de discos reproduce música.
15 . C. BackTrack es un conjunto de herramientas de
penetración que tiene una serie de herramientas de
piratería preinstaladas y listas para usar.
A, B y D son incorrectos. LanGuard, Nessus y MBSA
no son herramientas de prueba de penetración; se
consideran exploradores de vulnerabilidades.
Pregunta basada en el desempeño
16 . La siguiente ilustración muestra la respuesta correcta.
Tenga en cuenta que en el examen real encontrará
preguntas similares que esperan que arrastre el cuadro de
un lado al otro.
Configuraciones / Apoyo / Desconectar© 2020 O'Reilly Media, Inc . Condiciones de servicio / Política de privacidad
ANTERIOR17 Introducción a la informática foren…⏮
PRÓXIMO19 Comprensión del seguimiento y la a… ⏭