SlideShare una empresa de Scribd logo

Construyendo tu propio laboratorio de pentesting

J
Jaime Andrés Bello Vieda

Charla presentada en la séptima versión de Barcamp Security Edition. Universidad Militar Nueva Granada. Bogota, 26 de noviembre de 2016.

Ingeniería
1 de 17
Construyendo tu propio laboratorio de Pentesting JAIME ANDRES BELLO VIEDA Nov - 2016
AGENDA • Definición pentesting. • Tipos y fases del pentesting. • EDT para tu proyecto “Laboratorio de Pentesting”. • Hardware y software. • Conexiones de red virtuales. • Infraestructura “virtual” para tu laboratorio. • Demostración live.
Acerca de mi ? ?• Ingeniero de Sistemas. • Project Manager Professional PMP. • Auditor ISO/IEC 27001. • 5 años de experiencia… • Desarrollo, webmaster, administrador de infraestructura, auditoría de sistemas, seguridad informática, informática forense. • Música  - Desde los 12 años ♪♫ • Amante del ejercicio. • Compartir conocimiento.
Asi que quieres aprender Pentesting Una prueba/test/auditoría de penetración es una acción que se acuerda entre un(os) pentester(s)/auditor(es) y una empresa o individual que desea someter sus sistemas a prueba para identificar (y corregir) riesgos y vulnerabilidades informáticas asociadas a la criticidad y posibilidad de explotación de las mismas. Incluye: • Infraestructura. • Sitios web. • Software. • Red de telecomunicaciones.
TIPOS DE PENTESTING •No se entrega ningún tipo de información. •Hay que descubrir (fingerprint) equipos e infraestructura en la red, sistemas, servicios y puertos , tecnologías de sitios web, etc.Caja negra •Se entrega la información interna de la empresa. •Mapa de red, firewalls, sistemas operativos, tipos de autenticación, usuarios, tecnología de sitios web, etc. •No se invierte tiempo en la fase de descubrimiento (fingerprint). Caja blanca •Mezcla características de las 2 anteriores. •Se da a conocer alguna información al pentester. •Útil para conocer ataques que puede llegar a hacer un funcionario. (con usuarios y privilegios específicos) a nivel interno. Caja gris
¿¿¿CUALES SON LAS FASES? • Acordar con el cliente (o con el Jefe) cuál es el objetivo del pentest. • Identificar los servicios críticos de la empresa. • IPs, servicios o dispositivos a incluir en el pentest. Y CUALES NO. • ¿Uso de exploits contra servicios vulnerables o únicamente identificarlos? • ¿Ejecución en cualquier momento o solo a determinadas horas? • Obtener del cliente POR ESCRITO la autorización del test de penetración, que se límite nuestra responsabilidad en caso problemas. Todo lo relacionado a pagos. Contacto • Arañas (spiders) y escanners para obtener una idea de los sistemas a probarse. • Actividad en redes sociales de la organización, identificar empleados. • Llamadas a puntos de contacto y análisis de correos. Recolección de información • Pensar como si fuéramos atacantes. Estrategia de penetración. • Definir objetivos y como llegar a ellos. • Dinámico, a veces una puerta de entrada se convierte en un callejón sin salida y debemos seguir un camino inesperado. Igual, siempre diseña UNA ESTRATEGIA. Modelado de amenaza
• Ejecutar y valorar el éxito de la estrategia. • Se prueba la habilidad y creatividad del pentester para seleccionar y usar correctamente las herramientas y conseguir los objetivos establecidos en las fases anteriores. Análisis de vulnerabilidades “Ataque” • Una vez atacados, conseguir acceso a los sistemas objetivo a través de la ejecución de exploits o con las credenciales obtenidas en la fase anterior.Explotación • Demostrar que podría suponer una brecha para el cliente. Ej. Entrar a un servidor compromete a éste, pero, ¿Y si a través de él obtenemos información y/o control de toda la red, de los usuarios, o es posible escalar a otros segmentos y sistemas? Post-Explotación •Resultado de la auditoría al cliente. Enfocarse en los riesgos a los que se expone y su criticidad. •Destacar puntos en que la seguridad está implementada correctamente y aquellos que requieren correcciones recomendando el cómo. •Informe técnico e informe ejecutivo (Alta Gerencia). Informe ¿¿¿CUALES SON LAS FASES?
• Una Estructura de Desglose de Trabajo EDT (En inglés Work Breakdown Structure WBS) es una herramienta fundamental en Gestión de Proyectos donde se específica TODO el trabajo necesario para ejecutar un proyecto. ¿¿¿proyecto laboratorio de pentesting - edt Acá te propongo una -> En una EDT se incluye también el trabajo necesario para dirigir el proyecto… El trabajo de Dirección del Proyecto. Laboratorio de Pentesting HardwareDiseño Infraestructuras Dirección del Proyecto Requerimientos de software Requerimientos de Hardware Diagrama de red Máquinas virtuales atacantes Máquinas virtuales vulnerables Programas de virtualización Esquema aceleración procesos Instalación de otros software Ej: putty IIS Navegadores y plugins Disco duro Procesador RAM Interfaces red Tarjeta video Software
• Hablemos de tu equipo • Procesadores x64 Intel Core i5 – i7 o AMD equivalente. • Disco duro 300 – 500 GB (Ideal 1 TB o mayor). • 8 GB RAM o mayor. • ¿Escritorio o portátil? – Depende de tus gustos y/o necesidades. hardware GADGETS ADICIONALES• Tarjetas Wifi http://foro.seguridadwireless.net/adaptadores-wireless-usb/guia-para-adaptadores-usb-y-sus-chipsets-caracteristicas-generales/ • Raspberry Pi https://www.raspberrypi.org/ TP-LINK TL-WN722N Chip Atheros AR9271 Alfa Network AWUS036H Chip Realtek 8187 L
SOFTWARE• Hablemos de tu equipo • Sistemas Operativos Windows Vista/7/10, Linux (Ubuntu o similares), Mac OS X. • Virtualización • Tiene la ventaja de hacer las cosas de manera más sencilla, económica, convirtiendo tu equipo de trabajo individual en un equipo multiuso. • Programas de virtualización • Vmware Workstation - http://www.vmware.com/co/products/workstation.html • VMware Player - http://www.vmware.com/co/products/workstation.html - FREE • Virtual Box “Oracle” - https://www.virtualbox.org/wiki/Downloads - FREE • VMware Converter - https://my.vmware.com/web/vmware/evalcenter?p=converter - FREE
CONEXIONES DE RED AL VIRTUALIZAR • Se crea una dirección independiente para cada máquina virtual. • ¡Peligroso! al trabajar con máquinas vulnerables. Bridged Mode SWITCH VMnet0 VM2 192.X.X.12 VM1 192.X.X.11 Adaptador físico 192.X.X.10 Internet y/o red interna
NAT Mode SWITCH VMnet8 Red interna VM2 192.X.X.10:7022 VM1 192.X.X.10:6950 Adaptador físico 192.X.X.10 NAT Internet • Se mantiene una sola IP. • A nivel de Internet, se observa una sola IP (host principal), y no individualmente como en Bridge Mode. • Todos los equipos están interconectados. CONEXIONES DE RED AL VIRTUALIZAR
Host-only Mode SWITCH VMnet1 VM2 192.X.X.101 VM1 192.X.X.100 Adaptador físico 192.X.X.1 Internet Red interna • Las máquinas quedan aisladas. • No hay conexión a Internet en las MV. • Se crea una red donde hay visibilidad entre el host principal y las MV. • El Internet solo funciona para el host principal, a través de la IP del adaptador físico. CONEXIONES DE RED AL VIRTUALIZAR
• Para ejecutar con éxito tu infraestructura y laboratorio, necesitas máquinas que ataquen y máquinas a atacar (Intencionalmente vulnerables). • Máquinas atacantes • Kali Linux - https://www.kali.org/downloads/ • Parrot Security - https://www.parrotsec.org/download.fx • BackBox - https://backbox.org/download • Pentoo - http://www.pentoo.ch/download/ • Weakerthan - http://www.weaknetlabs.com/p/weakerthan-linux-6.html • Wifislax - http://www.wifislax.com/category/download/nuevas-versiones/ Pero, que virtualizar?
• Máquinas a atacar – Intencionalmente vulnerables • Metasploitable • https://sourceforge.net/projects/metasploitable/ • Owasp Broken Web Apps • https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project • VulnHub Máquinas libres (Algunas con tutoriales) • https://www.vulnhub.com/ • Para estar atento a retos online • https://ctftime.org/ • Infraestructura vulnerable • https://hack.me/ • https://lab.pentestit.ru/ CTF - Capture the flag Pero, que virtualizar?
Que este conocimiento persista en ustedes  GRACIAS! JAIME ANDRES BELLO VIEDA @avechuch0
• http://cyberseguridad.net/index.php/455-las-fases-de-un-test-de-penetracion-pentest-pentesting-i • https://cadascu.files.wordpress.com/2013/06/guia-vmware.pdf • https://www.cybrary.it/ • https://www.vmware.com/pdf/ws7_manual.pdf • http://cd83.net/nat-in-vmware-workstation/ • http://www.businessinsider.com/legal-hacking-gadgets-for-sale-online-2015-12/#for-under-40-this- usb-wireless-adapter-helps-hackers-break-into-any-wireless-network-5 • ISACA. Cibersecurity Fundamentals Study Guide 2015. REFERENCIAS

Recomendados

What is pentest
What is pentestWhat is pentest
What is pentestitissolutions
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing ExplainedRand W. Hirt
 
Penetration testing & Ethical Hacking
Penetration testing & Ethical HackingPenetration testing & Ethical Hacking
Penetration testing & Ethical HackingS.E. CTS CERT-GOV-MD
 
Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Ethical Hacking & Penetration Testing
Ethical Hacking & Penetration TestingEthical Hacking & Penetration Testing
Ethical Hacking & Penetration Testingecmee
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Pentesting
PentestingPentesting
PentestingEventos Creativos
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 

Recomendados

What is pentest
What is pentestWhat is pentest
What is pentestitissolutions
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing ExplainedRand W. Hirt
 
Penetration testing & Ethical Hacking
Penetration testing & Ethical HackingPenetration testing & Ethical Hacking
Penetration testing & Ethical HackingS.E. CTS CERT-GOV-MD
 
Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Ethical Hacking & Penetration Testing
Ethical Hacking & Penetration TestingEthical Hacking & Penetration Testing
Ethical Hacking & Penetration Testingecmee
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Pentesting
PentestingPentesting
PentestingEventos Creativos
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Ceh v5 module 11 hacking webservers
Ceh v5 module 11 hacking webserversCeh v5 module 11 hacking webservers
Ceh v5 module 11 hacking webserversVi Tính Hoàng Nam
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareKarloz Dz
 
Cifrado
CifradoCifrado
Cifradosindiguevarad
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationPECB
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?btpsec
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Aclarando dudas sobre RSA
Aclarando dudas sobre RSAAclarando dudas sobre RSA
Aclarando dudas sobre RSAEventos Creativos
 
Cyber threats landscape and defense
Cyber threats landscape and defenseCyber threats landscape and defense
Cyber threats landscape and defensefantaghost
 
Understanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfUnderstanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfslametarrokhim1
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Iso 12207
Iso 12207Iso 12207
Iso 12207Yabizyta
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Certified Ethical Hacking - Book Summary
Certified Ethical Hacking - Book SummaryCertified Ethical Hacking - Book Summary
Certified Ethical Hacking - Book Summaryudemy course
 
Chapter13
Chapter13Chapter13
Chapter13Muhammad Ahad
 
Networking and penetration testing
Networking and penetration testingNetworking and penetration testing
Networking and penetration testingMohit Belwal
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
LAN Security
LAN Security LAN Security
LAN Security Syed Ubaid Ali Jafri
 
Grupo# 5 problemas en el desarrollo de software
Grupo# 5 problemas en el desarrollo de softwareGrupo# 5 problemas en el desarrollo de software
Grupo# 5 problemas en el desarrollo de softwarejohan2105
 
Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre linenoise
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)NPROS Perú
 

Más contenido relacionado

La actualidad más candente

4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Ceh v5 module 11 hacking webservers
Ceh v5 module 11 hacking webserversCeh v5 module 11 hacking webservers
Ceh v5 module 11 hacking webserversVi Tính Hoàng Nam
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareKarloz Dz
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationPECB
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?btpsec
 
Cyber threats landscape and defense
Cyber threats landscape and defenseCyber threats landscape and defense
Cyber threats landscape and defensefantaghost
 
Understanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfUnderstanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfslametarrokhim1
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Certified Ethical Hacking - Book Summary
Certified Ethical Hacking - Book SummaryCertified Ethical Hacking - Book Summary
Certified Ethical Hacking - Book Summaryudemy course
 
Networking and penetration testing
Networking and penetration testingNetworking and penetration testing
Networking and penetration testingMohit Belwal
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Grupo# 5 problemas en el desarrollo de software
Grupo# 5 problemas en el desarrollo de softwareGrupo# 5 problemas en el desarrollo de software
Grupo# 5 problemas en el desarrollo de softwarejohan2105
 

La actualidad más candente (20)

4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de acceso
 
Ceh v5 module 11 hacking webservers
Ceh v5 module 11 hacking webserversCeh v5 module 11 hacking webservers
Ceh v5 module 11 hacking webservers
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jain
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de Software
 
Cifrado
CifradoCifrado
Cifrado
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for Organization
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Aclarando dudas sobre RSA
Aclarando dudas sobre RSAAclarando dudas sobre RSA
Aclarando dudas sobre RSA
 
Cyber threats landscape and defense
Cyber threats landscape and defenseCyber threats landscape and defense
Cyber threats landscape and defense
 
Understanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfUnderstanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdf
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Iso 12207
Iso 12207Iso 12207
Iso 12207
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Certified Ethical Hacking - Book Summary
Certified Ethical Hacking - Book SummaryCertified Ethical Hacking - Book Summary
Certified Ethical Hacking - Book Summary
 
Chapter13
Chapter13Chapter13
Chapter13
 
Networking and penetration testing
Networking and penetration testingNetworking and penetration testing
Networking and penetration testing
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de software
 
LAN Security
LAN Security LAN Security
LAN Security
 
Grupo# 5 problemas en el desarrollo de software
Grupo# 5 problemas en el desarrollo de softwareGrupo# 5 problemas en el desarrollo de software
Grupo# 5 problemas en el desarrollo de software
 

Similar a Construyendo tu propio laboratorio de pentesting

Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre linenoise
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)NPROS Perú
 
Webinar Arquitectura de Microservicios
Webinar Arquitectura de MicroserviciosWebinar Arquitectura de Microservicios
Webinar Arquitectura de MicroserviciosDomingo Suarez Torres
 
SecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesSecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesJose Luis Soria
 
Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas.. ..
 
Webcast Cono Sur Febrero 2013
Webcast Cono Sur Febrero 2013Webcast Cono Sur Febrero 2013
Webcast Cono Sur Febrero 2013Marcelo Pizani
 
Rational unified process rup
Rational unified process rupRational unified process rup
Rational unified process rupJonathan Arana
 
ISA Server 2006
ISA Server 2006ISA Server 2006
ISA Server 2006k4n71na
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptrogergrefa1
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxGerenciaEfran
 
Curso de Hacking Ético 2012 (CNHE)
Curso de Hacking Ético 2012 (CNHE)Curso de Hacking Ético 2012 (CNHE)
Curso de Hacking Ético 2012 (CNHE)NPROS Perú
 
Ingeniería de software
Ingeniería de softwareIngeniería de software
Ingeniería de softwaremat3matik
 
Ingeniería%20de%20 software[1], maryy
Ingeniería%20de%20 software[1], maryyIngeniería%20de%20 software[1], maryy
Ingeniería%20de%20 software[1], maryynelly
 
Ingeniería de software16
Ingeniería de software16Ingeniería de software16
Ingeniería de software16Ramon
 
Ingenier%c3%ada de software
Ingenier%c3%ada de softwareIngenier%c3%ada de software
Ingenier%c3%ada de softwareMarilupe
 

Similar a Construyendo tu propio laboratorio de pentesting (20)

Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
 
Webinar Arquitectura de Microservicios
Webinar Arquitectura de MicroserviciosWebinar Arquitectura de Microservicios
Webinar Arquitectura de Microservicios
 
SecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesSecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de despliegues
 
automatizacion de red.pptx
automatizacion de red.pptxautomatizacion de red.pptx
automatizacion de red.pptx
 
"Al rico" PHP
"Al rico" PHP"Al rico" PHP
"Al rico" PHP
 
Leccion0 sisop
Leccion0 sisopLeccion0 sisop
Leccion0 sisop
 
Espoch
EspochEspoch
Espoch
 
Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas
 
Webcast Cono Sur Febrero 2013
Webcast Cono Sur Febrero 2013Webcast Cono Sur Febrero 2013
Webcast Cono Sur Febrero 2013
 
Rational unified process rup
Rational unified process rupRational unified process rup
Rational unified process rup
 
VDI Security
VDI SecurityVDI Security
VDI Security
 
ISA Server 2006
ISA Server 2006ISA Server 2006
ISA Server 2006
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.ppt
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptx
 
Curso de Hacking Ético 2012 (CNHE)
Curso de Hacking Ético 2012 (CNHE)Curso de Hacking Ético 2012 (CNHE)
Curso de Hacking Ético 2012 (CNHE)
 
Ingeniería de software
Ingeniería de softwareIngeniería de software
Ingeniería de software
 
Ingeniería%20de%20 software[1], maryy
Ingeniería%20de%20 software[1], maryyIngeniería%20de%20 software[1], maryy
Ingeniería%20de%20 software[1], maryy
 
Ingeniería de software16
Ingeniería de software16Ingeniería de software16
Ingeniería de software16
 
Ingenier%c3%ada de software
Ingenier%c3%ada de softwareIngenier%c3%ada de software
Ingenier%c3%ada de software
 

Más de Jaime Andrés Bello Vieda

Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Jaime Andrés Bello Vieda
 
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasNuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasJaime Andrés Bello Vieda
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Jaime Andrés Bello Vieda
 
Primera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroPrimera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroJaime Andrés Bello Vieda
 
Introducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIIntroducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIJaime Andrés Bello Vieda
 

Más de Jaime Andrés Bello Vieda (8)

Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023
 
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasNuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Primera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroPrimera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - Golismero
 
Entendiendo el ransomware
Entendiendo el ransomwareEntendiendo el ransomware
Entendiendo el ransomware
 
Introducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIIntroducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMI
 

Último

APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTElisaLen4
 
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)Ricardo705519
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
introducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesintroducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesgovovo2388
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDEdith Puclla
 
Desigualdades e inecuaciones-convertido.pdf
Desigualdades e inecuaciones-convertido.pdfDesigualdades e inecuaciones-convertido.pdf
Desigualdades e inecuaciones-convertido.pdfRonaldLozano11
 
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.pptoscarvielma45
 
sigof.sisfoh.gob.pe_consulta_hogares_ULE_busqueda_print.php (1).pptx
sigof.sisfoh.gob.pe_consulta_hogares_ULE_busqueda_print.php (1).pptxsigof.sisfoh.gob.pe_consulta_hogares_ULE_busqueda_print.php (1).pptx
sigof.sisfoh.gob.pe_consulta_hogares_ULE_busqueda_print.php (1).pptxsutti0808
 
Maquinaria Agricola utilizada en la produccion de Piña.pdf
Maquinaria Agricola utilizada en la produccion de Piña.pdfMaquinaria Agricola utilizada en la produccion de Piña.pdf
Maquinaria Agricola utilizada en la produccion de Piña.pdfdanielJAlejosC
 
4º Clase Laboratorio (2024) Completo Mezclas Asfalticas Caliente (1).pdf
4º Clase Laboratorio (2024) Completo Mezclas Asfalticas Caliente (1).pdf4º Clase Laboratorio (2024) Completo Mezclas Asfalticas Caliente (1).pdf
4º Clase Laboratorio (2024) Completo Mezclas Asfalticas Caliente (1).pdfnicolascastaneda8
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEduardoBriones22
 
Ejemplos aplicados de flip flops para la ingenieria
Ejemplos aplicados de flip flops para la ingenieriaEjemplos aplicados de flip flops para la ingenieria
Ejemplos aplicados de flip flops para la ingenieriaAndreBarrientos3
 
Practica PLC MIcrologix 1400 con pantalla HMI y servomotor
Practica PLC MIcrologix 1400 con pantalla HMI y servomotorPractica PLC MIcrologix 1400 con pantalla HMI y servomotor
Practica PLC MIcrologix 1400 con pantalla HMI y servomotorkavowog624
 
CALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptxCALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptxCarlosGabriel96
 
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSIONCALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSIONJuan Carlos Meza Molina
 
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNATINSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNATevercoyla
 
Tinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaTinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaAlexanderimanolLencr
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingKevinCabrera96
 
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheAportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheElisaLen4
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesElianaCceresTorrico
 

Último (20)

APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
 
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
analisis tecnologico( diagnostico tecnologico, herramienta de toma de deciones)
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
introducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesintroducción a las comunicaciones satelitales
introducción a las comunicaciones satelitales
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCD
 
Desigualdades e inecuaciones-convertido.pdf
Desigualdades e inecuaciones-convertido.pdfDesigualdades e inecuaciones-convertido.pdf
Desigualdades e inecuaciones-convertido.pdf
 
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
 
sigof.sisfoh.gob.pe_consulta_hogares_ULE_busqueda_print.php (1).pptx
sigof.sisfoh.gob.pe_consulta_hogares_ULE_busqueda_print.php (1).pptxsigof.sisfoh.gob.pe_consulta_hogares_ULE_busqueda_print.php (1).pptx
sigof.sisfoh.gob.pe_consulta_hogares_ULE_busqueda_print.php (1).pptx
 
Maquinaria Agricola utilizada en la produccion de Piña.pdf
Maquinaria Agricola utilizada en la produccion de Piña.pdfMaquinaria Agricola utilizada en la produccion de Piña.pdf
Maquinaria Agricola utilizada en la produccion de Piña.pdf
 
4º Clase Laboratorio (2024) Completo Mezclas Asfalticas Caliente (1).pdf
4º Clase Laboratorio (2024) Completo Mezclas Asfalticas Caliente (1).pdf4º Clase Laboratorio (2024) Completo Mezclas Asfalticas Caliente (1).pdf
4º Clase Laboratorio (2024) Completo Mezclas Asfalticas Caliente (1).pdf
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
 
Ejemplos aplicados de flip flops para la ingenieria
Ejemplos aplicados de flip flops para la ingenieriaEjemplos aplicados de flip flops para la ingenieria
Ejemplos aplicados de flip flops para la ingenieria
 
Practica PLC MIcrologix 1400 con pantalla HMI y servomotor
Practica PLC MIcrologix 1400 con pantalla HMI y servomotorPractica PLC MIcrologix 1400 con pantalla HMI y servomotor
Practica PLC MIcrologix 1400 con pantalla HMI y servomotor
 
CALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptxCALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptx
 
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSIONCALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
 
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNATINSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
 
Tinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaTinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiología
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards Deming
 
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheAportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
 

Construyendo tu propio laboratorio de pentesting

  • 2. AGENDA • Definición pentesting. • Tipos y fases del pentesting. • EDT para tu proyecto “Laboratorio de Pentesting”. • Hardware y software. • Conexiones de red virtuales. • Infraestructura “virtual” para tu laboratorio. • Demostración live.
  • 3. Acerca de mi ? ?• Ingeniero de Sistemas. • Project Manager Professional PMP. • Auditor ISO/IEC 27001. • 5 años de experiencia… • Desarrollo, webmaster, administrador de infraestructura, auditoría de sistemas, seguridad informática, informática forense. • Música  - Desde los 12 años ♪♫ • Amante del ejercicio. • Compartir conocimiento.
  • 4. Asi que quieres aprender Pentesting Una prueba/test/auditoría de penetración es una acción que se acuerda entre un(os) pentester(s)/auditor(es) y una empresa o individual que desea someter sus sistemas a prueba para identificar (y corregir) riesgos y vulnerabilidades informáticas asociadas a la criticidad y posibilidad de explotación de las mismas. Incluye: • Infraestructura. • Sitios web. • Software. • Red de telecomunicaciones.
  • 5. TIPOS DE PENTESTING •No se entrega ningún tipo de información. •Hay que descubrir (fingerprint) equipos e infraestructura en la red, sistemas, servicios y puertos , tecnologías de sitios web, etc.Caja negra •Se entrega la información interna de la empresa. •Mapa de red, firewalls, sistemas operativos, tipos de autenticación, usuarios, tecnología de sitios web, etc. •No se invierte tiempo en la fase de descubrimiento (fingerprint). Caja blanca •Mezcla características de las 2 anteriores. •Se da a conocer alguna información al pentester. •Útil para conocer ataques que puede llegar a hacer un funcionario. (con usuarios y privilegios específicos) a nivel interno. Caja gris
  • 6. ¿¿¿CUALES SON LAS FASES? • Acordar con el cliente (o con el Jefe) cuál es el objetivo del pentest. • Identificar los servicios críticos de la empresa. • IPs, servicios o dispositivos a incluir en el pentest. Y CUALES NO. • ¿Uso de exploits contra servicios vulnerables o únicamente identificarlos? • ¿Ejecución en cualquier momento o solo a determinadas horas? • Obtener del cliente POR ESCRITO la autorización del test de penetración, que se límite nuestra responsabilidad en caso problemas. Todo lo relacionado a pagos. Contacto • Arañas (spiders) y escanners para obtener una idea de los sistemas a probarse. • Actividad en redes sociales de la organización, identificar empleados. • Llamadas a puntos de contacto y análisis de correos. Recolección de información • Pensar como si fuéramos atacantes. Estrategia de penetración. • Definir objetivos y como llegar a ellos. • Dinámico, a veces una puerta de entrada se convierte en un callejón sin salida y debemos seguir un camino inesperado. Igual, siempre diseña UNA ESTRATEGIA. Modelado de amenaza
  • 7. • Ejecutar y valorar el éxito de la estrategia. • Se prueba la habilidad y creatividad del pentester para seleccionar y usar correctamente las herramientas y conseguir los objetivos establecidos en las fases anteriores. Análisis de vulnerabilidades “Ataque” • Una vez atacados, conseguir acceso a los sistemas objetivo a través de la ejecución de exploits o con las credenciales obtenidas en la fase anterior.Explotación • Demostrar que podría suponer una brecha para el cliente. Ej. Entrar a un servidor compromete a éste, pero, ¿Y si a través de él obtenemos información y/o control de toda la red, de los usuarios, o es posible escalar a otros segmentos y sistemas? Post-Explotación •Resultado de la auditoría al cliente. Enfocarse en los riesgos a los que se expone y su criticidad. •Destacar puntos en que la seguridad está implementada correctamente y aquellos que requieren correcciones recomendando el cómo. •Informe técnico e informe ejecutivo (Alta Gerencia). Informe ¿¿¿CUALES SON LAS FASES?
  • 8. • Una Estructura de Desglose de Trabajo EDT (En inglés Work Breakdown Structure WBS) es una herramienta fundamental en Gestión de Proyectos donde se específica TODO el trabajo necesario para ejecutar un proyecto. ¿¿¿proyecto laboratorio de pentesting - edt Acá te propongo una -> En una EDT se incluye también el trabajo necesario para dirigir el proyecto… El trabajo de Dirección del Proyecto. Laboratorio de Pentesting HardwareDiseño Infraestructuras Dirección del Proyecto Requerimientos de software Requerimientos de Hardware Diagrama de red Máquinas virtuales atacantes Máquinas virtuales vulnerables Programas de virtualización Esquema aceleración procesos Instalación de otros software Ej: putty IIS Navegadores y plugins Disco duro Procesador RAM Interfaces red Tarjeta video Software
  • 9. • Hablemos de tu equipo • Procesadores x64 Intel Core i5 – i7 o AMD equivalente. • Disco duro 300 – 500 GB (Ideal 1 TB o mayor). • 8 GB RAM o mayor. • ¿Escritorio o portátil? – Depende de tus gustos y/o necesidades. hardware GADGETS ADICIONALES• Tarjetas Wifi http://foro.seguridadwireless.net/adaptadores-wireless-usb/guia-para-adaptadores-usb-y-sus-chipsets-caracteristicas-generales/ • Raspberry Pi https://www.raspberrypi.org/ TP-LINK TL-WN722N Chip Atheros AR9271 Alfa Network AWUS036H Chip Realtek 8187 L
  • 10. SOFTWARE• Hablemos de tu equipo • Sistemas Operativos Windows Vista/7/10, Linux (Ubuntu o similares), Mac OS X. • Virtualización • Tiene la ventaja de hacer las cosas de manera más sencilla, económica, convirtiendo tu equipo de trabajo individual en un equipo multiuso. • Programas de virtualización • Vmware Workstation - http://www.vmware.com/co/products/workstation.html • VMware Player - http://www.vmware.com/co/products/workstation.html - FREE • Virtual Box “Oracle” - https://www.virtualbox.org/wiki/Downloads - FREE • VMware Converter - https://my.vmware.com/web/vmware/evalcenter?p=converter - FREE
  • 11. CONEXIONES DE RED AL VIRTUALIZAR • Se crea una dirección independiente para cada máquina virtual. • ¡Peligroso! al trabajar con máquinas vulnerables. Bridged Mode SWITCH VMnet0 VM2 192.X.X.12 VM1 192.X.X.11 Adaptador físico 192.X.X.10 Internet y/o red interna
  • 12. NAT Mode SWITCH VMnet8 Red interna VM2 192.X.X.10:7022 VM1 192.X.X.10:6950 Adaptador físico 192.X.X.10 NAT Internet • Se mantiene una sola IP. • A nivel de Internet, se observa una sola IP (host principal), y no individualmente como en Bridge Mode. • Todos los equipos están interconectados. CONEXIONES DE RED AL VIRTUALIZAR
  • 13. Host-only Mode SWITCH VMnet1 VM2 192.X.X.101 VM1 192.X.X.100 Adaptador físico 192.X.X.1 Internet Red interna • Las máquinas quedan aisladas. • No hay conexión a Internet en las MV. • Se crea una red donde hay visibilidad entre el host principal y las MV. • El Internet solo funciona para el host principal, a través de la IP del adaptador físico. CONEXIONES DE RED AL VIRTUALIZAR
  • 14. • Para ejecutar con éxito tu infraestructura y laboratorio, necesitas máquinas que ataquen y máquinas a atacar (Intencionalmente vulnerables). • Máquinas atacantes • Kali Linux - https://www.kali.org/downloads/ • Parrot Security - https://www.parrotsec.org/download.fx • BackBox - https://backbox.org/download • Pentoo - http://www.pentoo.ch/download/ • Weakerthan - http://www.weaknetlabs.com/p/weakerthan-linux-6.html • Wifislax - http://www.wifislax.com/category/download/nuevas-versiones/ Pero, que virtualizar?
  • 15. • Máquinas a atacar – Intencionalmente vulnerables • Metasploitable • https://sourceforge.net/projects/metasploitable/ • Owasp Broken Web Apps • https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project • VulnHub Máquinas libres (Algunas con tutoriales) • https://www.vulnhub.com/ • Para estar atento a retos online • https://ctftime.org/ • Infraestructura vulnerable • https://hack.me/ • https://lab.pentestit.ru/ CTF - Capture the flag Pero, que virtualizar?
  • 16. Que este conocimiento persista en ustedes  GRACIAS! JAIME ANDRES BELLO VIEDA @avechuch0
  • 17. • http://cyberseguridad.net/index.php/455-las-fases-de-un-test-de-penetracion-pentest-pentesting-i • https://cadascu.files.wordpress.com/2013/06/guia-vmware.pdf • https://www.cybrary.it/ • https://www.vmware.com/pdf/ws7_manual.pdf • http://cd83.net/nat-in-vmware-workstation/ • http://www.businessinsider.com/legal-hacking-gadgets-for-sale-online-2015-12/#for-under-40-this- usb-wireless-adapter-helps-hackers-break-into-any-wireless-network-5 • ISACA. Cibersecurity Fundamentals Study Guide 2015. REFERENCIAS