KS Pen Test Presentation EN_ES v1.5.1
EXPERTOS EN SEGURIDAD INFORMÁTICA Soluciones. Innovación. Confianza. Add your tagline here PENETRATION TESTING 101 THE BASICS Add your tagline here ORDENDELDÍA Introducción Objetivos Qué es una prueba deintrusión? Habilidades requeridas Pasos pararealizar una prueba deintrusión Fases Herramientas Metodología en laaplicación de herramientas • Técnicas avanzadas deevasión (AET) • • • • • • • • • • • • • • • • • • Debilidades pruebas deintrusión Informe dePenTest Ohrayos,mis defensas sonunasco! Información generalCND Quesigue? Certificación Linkspararecursos Próxima clase Preguntas Sugerencias yobsequios! INTRODUCCIÓN JohnF.McClure Empleados:KimberSystems, LLC Educación:Maestría enCiencias,Tecnología delaInformación Sistemas Experiencia deInfoSec:22años Certificaciones Clientes /Socios YVOS? Quién sos? Por qué estás aquí? Aqué te dedicas? OBJETIVOS • Exponer amuy altonivel los conceptos delaspruebas deintrusion. • Debatir sobre elnegocio delaspruebas deintrusión (nosololotécnico) • Hablar sobre algunas delasherramientas ytécnicas parafacilitar laspruebas deintrusión. • Aprender acerca delashabilidades ylamentalidad quenecesita untesterdeintrusión, Qué hago ahora? ENESTAOCASIÓNNOVEREMOS: • Instación desoftware; pero revisaremos lasherramientas. • Hackear unmontón decomputadores,pero vamos atener otra presentación ylaboratorios enelfuturo. PRUEBADEINTRUSIÓN • Es unintento proactivo yautorizado paraevaluar la seguridad deuna infraestructura deTI,tratando de manera segura explotar lasvulnerabilidades del sistema,incluyendo sistema operativo,elservicio y fallas deaplicaciones,configuraciones incorrectas,e incluso elcomportamiento deunusuariofinalpeligroso. Estoy seguro?Cómo saberlo? NIVELESENLASPRUEBASDEINTRUSIÓN • Nivel 1:SOMBREROBLANCO • Nivel 2:SOMBREROGRIS • Nivel 3:SOMBRERONEGRO • Nivel 4:EQUIPOROJO • Nivel 5:ESTADONACIÓN TIPOSDEPRUEBADEINTRUSIÓN Personas Físico Red Aplicaciones IngenieríaSocial Construcciónde controlesdeacceso SistemasOperativos Web– net,php,xml, http/s ConcienciaenSeguridad CCTV/Sistemasde Monitoreo BasesdeDatos RevisióndecódigoJava, C++yphp SimulacionesPhishing OficinadeAuditoríasen Seguridad Routers,Switches, Firewalls,VPN,RAS SistemasEmbebidos Personal/Recurso HumanoenSeguridad DepuracióndeBug/ AuditoriasInalámbricas Telefonía/VozIP TestingLógicode Negocios MediosSociales Seguridad enCentrodeDatos EvasióndeIPS/IDS Aseguramientode AplicacionesdeTerceros HABILIDADESREQUERIDAS • Conocimientos sólidos en:redes, ordenadores,protocolos ypaquetes • Metodología yplandetrabajo • Paciencia • Aprendizaje continuo COMPROMISO Corp participa KS Determinar metas /alcance /hora/etc. Crear reglas decompromiso Realizar ejercicio (social,personal,físico,pentest, wireless,aplicación web(SQLi, fuzzing),relaciones industriales,entreotros. • Proporcionar informes y/orecomendaciones • Próximos pasos (soporte CND) • re-arquitectura • aumento dedetección /defensas • capacidades IR • • • • FASESDEPRUEBASDEINTRUSIÓN Identificaciónde vulnerabilidades PlanearTest • Reunióncon elcliente. • Definirlos objetivosy alcances. • Recopilar información sobreelsistema atestear. • Detecciónde vulnerabilidades potenciales. • Intentode explotarlas vulnerabilidades Intentode explotaciónde vulnerabilidades potenciales. Crearreportesy recomendaciones • Crearlosreportes paraelpropietario delsistema, incluyendo vulnerabilidades encontradasy recomendaciones aeliminar. • Eliminarlas vulnerabilidades Eliminaro reducirlas probabilidades deencontrar vulnerabilidades. HERRAMIENTASPENTEST • • • • • • • • • Kali Linux* Nmap* Metasploit* Nessus* BurpSuite* Wireshark* OWASPZAP Sqlmap Jawfish LAB/DEMO EVASIÓNDEDETECCIÓN • Técnicas avanzadas deevasión (AET) • Fragmentación depaquetes • Piggy-backpayload(ejemplos?) • ACKflagset • Flooding • Ofuscación (lenguaje,HEX,etc.) DEBILIDADESDEPRUEBADEINTRUSIÓN • • • • • • Conjunto dehabilidades deltester Aplicable en unmomento determinado NUNCApuede considerarse 100%integral Limitado por eltiempo ylosrecursos Riesgo dedañar sistema Costosa (depende) INFORMEDEPENTEST • Lamayoría pasa por altopartedelaprueba de penetración! • Por qué? • Por qué es tanimportante? • Quedebería incluir en elreporte? • Multiplessesiones informativas /reportes RESULTADOS:¿YAHORAQUÉ? • • • • Análisis deimpacto Determinación delriesgo Inversión Re-test! INFORMACIÓNGENERALCND • • • • • • • • • • Infraestructura segura Segmentación delared Firewalls Análisis deprotocolos Sistemas dedetección deintrusiones Prevención depérdida dedatos Colección /Análisis deflujo dedatos Cifrado /descifrado Identidad/administrador deacceso Inteligencia deamenazas QUESIGUE? • Instalar /aprender • Note cuelgues enlasintaxis; tienes quepensar como unatacante yser creativo. • Necesito saberscripting? Sí en algún nivel básico,pero lomás importante es tu formadepensar. • Práctica (ética) • Llegado anuestro próximo evento OBTENERLACERTIFICACIÓN SITIOS/LINKS • kimbersystems.com Kali:https://www.kali.org/downloads/ Metasploit:https://www.metasploit.com/ Nmap:https://nmap.org/download.html Nessus:http://www.tenable.com/products/nessus/select-your-operating-system BurpSuite:https://portswigger.net/burp/download.html SQLmap:http://sqlmap.org/ OWASPZap: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project • Jawfish:https://gingeleski.github.io/jawfish/ • • • • • • • SIGUIENTE… • PRÓXIMOENTRENAMIENTO LABS! • PREGUNTAS? • OBSEQUIOS! EXPERTOS EN SEGURIDAD INFORMÁTICA Soluciones. Innovación. Confianza. Add your tagline here www.kimbersystems.com @kimbersystems.com www.facebook.com/kimbersystems @kimbersystemsCO www.facebook.com/kimbersystemsCO [email protected] @johnmcclure00 linkedin.com/in/johnmcclure
© Copyright 2024