2. AGENDA
• Definición pentesting.
• Tipos y fases del pentesting.
• EDT para tu proyecto “Laboratorio de Pentesting”.
• Hardware y software.
• Conexiones de red virtuales.
• Infraestructura “virtual” para tu laboratorio.
• Demostración live.
3. Acerca de mi
?
?• Ingeniero de Sistemas.
• Project Manager Professional PMP.
• Auditor ISO/IEC 27001.
• 5 años de experiencia…
• Desarrollo, webmaster, administrador de
infraestructura, auditoría de sistemas,
seguridad informática, informática forense.
• Música - Desde los 12 años ♪♫
• Amante del ejercicio.
• Compartir conocimiento.
4. Asi que quieres aprender
Pentesting
Una prueba/test/auditoría de penetración es una acción que se acuerda
entre un(os) pentester(s)/auditor(es) y una empresa o individual que desea
someter sus sistemas a prueba para identificar (y corregir) riesgos y
vulnerabilidades informáticas asociadas a la criticidad y posibilidad de
explotación de las mismas.
Incluye:
• Infraestructura.
• Sitios web.
• Software.
• Red de telecomunicaciones.
5. TIPOS DE PENTESTING
•No se entrega ningún tipo de información.
•Hay que descubrir (fingerprint) equipos e infraestructura en la red,
sistemas, servicios y puertos , tecnologías de sitios web, etc.Caja negra
•Se entrega la información interna de la empresa.
•Mapa de red, firewalls, sistemas operativos, tipos de autenticación,
usuarios, tecnología de sitios web, etc.
•No se invierte tiempo en la fase de descubrimiento (fingerprint).
Caja blanca
•Mezcla características de las 2 anteriores.
•Se da a conocer alguna información al pentester.
•Útil para conocer ataques que puede llegar a hacer un funcionario.
(con usuarios y privilegios específicos) a nivel interno.
Caja gris
6. ¿¿¿CUALES SON LAS FASES?
• Acordar con el cliente (o con el Jefe) cuál es el objetivo del pentest.
• Identificar los servicios críticos de la empresa.
• IPs, servicios o dispositivos a incluir en el pentest. Y CUALES NO.
• ¿Uso de exploits contra servicios vulnerables o únicamente identificarlos?
• ¿Ejecución en cualquier momento o solo a determinadas horas?
• Obtener del cliente POR ESCRITO la autorización del test de penetración, que se límite
nuestra responsabilidad en caso problemas. Todo lo relacionado a pagos.
Contacto
• Arañas (spiders) y escanners para obtener una idea de los sistemas a probarse.
• Actividad en redes sociales de la organización, identificar empleados.
• Llamadas a puntos de contacto y análisis de correos.
Recolección
de información
• Pensar como si fuéramos atacantes. Estrategia de penetración.
• Definir objetivos y como llegar a ellos.
• Dinámico, a veces una puerta de entrada se convierte en un callejón sin salida y
debemos seguir un camino inesperado. Igual, siempre diseña UNA ESTRATEGIA.
Modelado de
amenaza
7. • Ejecutar y valorar el éxito de la estrategia.
• Se prueba la habilidad y creatividad del pentester para seleccionar y usar
correctamente las herramientas y conseguir los objetivos establecidos en las
fases anteriores.
Análisis de
vulnerabilidades
“Ataque”
• Una vez atacados, conseguir acceso a los sistemas objetivo a través de la
ejecución de exploits o con las credenciales obtenidas en la fase anterior.Explotación
• Demostrar que podría suponer una brecha para el cliente. Ej. Entrar a un servidor
compromete a éste, pero, ¿Y si a través de él obtenemos información y/o control
de toda la red, de los usuarios, o es posible escalar a otros segmentos y sistemas?
Post-Explotación
•Resultado de la auditoría al cliente. Enfocarse en los riesgos a los que se expone y su
criticidad.
•Destacar puntos en que la seguridad está implementada correctamente y aquellos que
requieren correcciones recomendando el cómo.
•Informe técnico e informe ejecutivo (Alta Gerencia).
Informe
¿¿¿CUALES SON LAS FASES?
8. • Una Estructura de Desglose de
Trabajo EDT (En inglés Work
Breakdown Structure WBS) es
una herramienta fundamental
en Gestión de Proyectos donde
se específica TODO el trabajo
necesario para ejecutar un
proyecto.
¿¿¿proyecto laboratorio de
pentesting - edt
Acá te propongo una ->
En una EDT se incluye también el trabajo necesario para
dirigir el proyecto… El trabajo de Dirección del Proyecto.
Laboratorio de Pentesting
HardwareDiseño Infraestructuras Dirección del
Proyecto
Requerimientos
de software
Requerimientos
de Hardware
Diagrama
de red
Máquinas virtuales
atacantes
Máquinas virtuales
vulnerables
Programas
de virtualización
Esquema
aceleración procesos
Instalación de otros
software
Ej: putty
IIS
Navegadores
y plugins
Disco duro
Procesador
RAM
Interfaces red
Tarjeta video
Software
9. • Hablemos de tu equipo
• Procesadores x64 Intel Core i5 – i7 o AMD equivalente.
• Disco duro 300 – 500 GB (Ideal 1 TB o mayor).
• 8 GB RAM o mayor.
• ¿Escritorio o portátil? – Depende de tus gustos y/o necesidades.
hardware
GADGETS ADICIONALES• Tarjetas Wifi
http://foro.seguridadwireless.net/adaptadores-wireless-usb/guia-para-adaptadores-usb-y-sus-chipsets-caracteristicas-generales/
• Raspberry Pi
https://www.raspberrypi.org/ TP-LINK TL-WN722N
Chip Atheros AR9271
Alfa Network AWUS036H
Chip Realtek 8187 L
10. SOFTWARE• Hablemos de tu equipo
• Sistemas Operativos Windows Vista/7/10, Linux (Ubuntu o similares), Mac OS X.
• Virtualización
• Tiene la ventaja de hacer las cosas de manera más sencilla, económica, convirtiendo tu
equipo de trabajo individual en un equipo multiuso.
• Programas de virtualización
• Vmware Workstation - http://www.vmware.com/co/products/workstation.html
• VMware Player - http://www.vmware.com/co/products/workstation.html - FREE
• Virtual Box “Oracle” - https://www.virtualbox.org/wiki/Downloads - FREE
• VMware Converter - https://my.vmware.com/web/vmware/evalcenter?p=converter -
FREE
11. CONEXIONES DE RED AL
VIRTUALIZAR
• Se crea una dirección independiente para
cada máquina virtual.
• ¡Peligroso! al trabajar con máquinas
vulnerables.
Bridged Mode
SWITCH
VMnet0
VM2
192.X.X.12
VM1
192.X.X.11
Adaptador
físico
192.X.X.10
Internet y/o
red interna
14. • Para ejecutar con éxito tu infraestructura y laboratorio, necesitas máquinas
que ataquen y máquinas a atacar (Intencionalmente vulnerables).
• Máquinas atacantes
• Kali Linux - https://www.kali.org/downloads/
• Parrot Security - https://www.parrotsec.org/download.fx
• BackBox - https://backbox.org/download
• Pentoo - http://www.pentoo.ch/download/
• Weakerthan - http://www.weaknetlabs.com/p/weakerthan-linux-6.html
• Wifislax - http://www.wifislax.com/category/download/nuevas-versiones/
Pero, que virtualizar?
15. • Máquinas a atacar – Intencionalmente vulnerables
• Metasploitable
• https://sourceforge.net/projects/metasploitable/
• Owasp Broken Web Apps
• https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
• VulnHub Máquinas libres (Algunas con tutoriales)
• https://www.vulnhub.com/
• Para estar atento a retos online
• https://ctftime.org/
• Infraestructura vulnerable
• https://hack.me/
• https://lab.pentestit.ru/
CTF - Capture the flag
Pero, que virtualizar?