SlideShare una empresa de Scribd logo

2. evaluacion de vulnerabilidades

Jose Peña
Jose Peña

Una evaluación de vulnerabilidades identifica las vulnerabilidades en un sistema o red mediante el uso de herramientas de escaneo, pero no intenta explotar esas vulnerabilidades, a diferencia de una prueba de penetración. Nessus es una de las herramientas de escaneo más completas, que usa una base de datos de vulnerabilidades conocidas para identificar posibles problemas de seguridad en sistemas remotos.

Ingeniería
1 de 14
Evaluación de vulnerabilidades
Evaluación de vulnerabilidades Evaluación de vulnerabilidades vs. Penetration test Hay mucha confusión entre lo que es una evaluación de vulnerabilidades y el penetration test Como pentester es tu responsabilidad entender las necesidades del cliente y apartir de ahi aconsejarle y entregarle la solución más apropiada cuando el cliente no tiene las herramientas y el conocimiento necesario para tomar la decisión correcta.
Evaluación de vulnerabilidades Una evaluación de vulnerabilidades es un estudio de todas las vulnerabilidades que se encuentran dentro de un red o en la aplicacion de nuestro cliente La principal diferencia con un test de penetración es que no vamos a proceder con la fase de explotación, simplemente vamos a entregar pruebas de que existe vulnerabilidades dentro de cada sistema
Evaluacion de vulnerabilidades Evaluar vulnerabilidades Escribir la lista de vulnerabilidades Encontrar o programar un exploit por cada vulnerabilidad que encontremos Explotar la o las vulnerabilidades Encontrar mas hosts/ elavar privilegios También debemos tomar en cuenta que la evaluación de vulnerabilidades es una de las fases más delicadas en el test de penetración, en algún punto del test el penetration tester querra construir una lista de las vulnerabilidades encontradas para después ir a través de cada vulnerabilidad tratando de explotarlas
Evaluación de vulnerabilidades Cada vulnerabilidad explotada puede proveer más privilegios al pentester o puede encontrar un acceso a toda una nueva red que no habia detectado anteriormente Una vez que se detecta una nueva red el proceso siguiente será una nueva evaluación de vulnerabilidades de esta nueva red encontrada y eventualmente procederá a la explotación de esta red
Evaluación de vulnerabilidades Claramente podemos decir que un test de penetración es mucho más completa en términos de vulnerabilidades descubiertas en comparación con una evaluación de vulnerabilidades. Por otra parte, si no hay una fase real de explotación, una evaluación de vulnerabilidad falla cuando se determina si hay amenazas reales y sobre todo que tan críticas son las fallas. Una evaluación de vulnerabilidades usualmente toma menos tiempo y una carga más ligera de las infraestructuras críticas de los clientes, por lo tanto, se aconseja exponer las vulnerabilidades en entornos de producción, cuando una prueba de penetración sería demasiado invasiva
Evaluación de vulnerabilidades Herramientas para la evaluación de vulnerabilidades: Las evaluaciones de vulnerabilidades puede ser remotas o locales Una evaluación remota de vulnerabilidad usualmente se hace por medio del uso de un escáner de vulnerabilidades. Estos escáneres son herramientas que usan una base de datos que contiene información acerca de vulnerabilidades conocidas o auditorias de seguridad para descubrir las vulnerabilidades de los sistemas remotos
Evaluación de vulnerabilidades Es responsabilidad del fabricante mantener la herramienta actualizada con las ultimas vulnerabilidades conocidas. Entre más actualizada está la base de datos, tendremos mejores y más relevantes resultados. La herramienta más completa en escáneres de vulnerabilidades es Nessus desarrollada por Tenable Network. Otras escaners de vulnerabilidades populares son: Openvas, eEye Retina, Saint, Gfi Languard.
Evaluación de vulnerabilidades Nessus es un escaner de vulnerabilidades fácil de usar y muy poderoso, tanto puede ser usado en compañias pequeñas como en enormes corporaciones. Nessus es gratuito con su licencia Home, para uso no comercial, cualquiera lo puede instalar y usarlo para asegurar su red local.
Evaluación de vulnerabilidades Cuando se instala nessus tenemos 2 componentes: un cliente y un servidor
Evaluación de vulnerabilidades El cliente es lo que tu ejecutarás para configurar el escaneo
Evaluación de vulnerabilidades El server es el componente que realmente realiza el escaneo y envia el reporte al cliente
Evaluación de vulnerabilidades Podemos ejecutar el cliente y el server en la misma computadora, de hecho es lo más comun ejecutar tanto el cliente como el server en la misma computadora
Evaluación de vulnerabilidades Estos son los pasos que las herramientas de escaneo de vulnerabilidades siguen: 1) Determinar cuales puertos estan abiertos. 2) Determinar que servicio está corriendo en cada puerto. 3) Busqueda de vulnerabilidades en la base de datos para encontrar vulnerabilidades en las versiones del servicio encontrado. 4) Envia exploraciones al sistema remoto para verificar que realmente si existe la vulnerabilidad detectada.

Recomendados

3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 Nessus
Meztli Valeriano Orozco
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
gio_vani
 
Formato de practicas_de_laboratorio
Formato de practicas_de_laboratorioFormato de practicas_de_laboratorio
Formato de practicas_de_laboratorio
Mayra Jimena Huebla Ati
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And Nmap
Victor Guana
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
Alejandro Otegui
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidades
Oier Ardanaz
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessus
Lethy Mendez
 
Qué es un antivirus
Qué es un antivirusQué es un antivirus
Qué es un antivirus
Keyti Ochoa
 

Recomendados

3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 Nessus
Meztli Valeriano Orozco
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
gio_vani
 
Formato de practicas_de_laboratorio
Formato de practicas_de_laboratorioFormato de practicas_de_laboratorio
Formato de practicas_de_laboratorio
Mayra Jimena Huebla Ati
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And Nmap
Victor Guana
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
Alejandro Otegui
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidades
Oier Ardanaz
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessus
Lethy Mendez
 
Qué es un antivirus
Qué es un antivirusQué es un antivirus
Qué es un antivirus
Keyti Ochoa
 
Antivirus
AntivirusAntivirus
Antivirus
infiesleonardo
 
Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1
erwin leon castillo
 
Software
SoftwareSoftware
Software
alexaflaquita
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
erikita Sol
 
Manejo de prtg network monitor
Manejo de prtg network monitorManejo de prtg network monitor
Manejo de prtg network monitor
Stalin Eduardo Tusa Vitar
 
Prtg network monitor
Prtg network monitorPrtg network monitor
Prtg network monitor
Stalin Eduardo Tusa Vitar
 
Antivirus
AntivirusAntivirus
Antivirus
Edgar Haro
 
Prtg
PrtgPrtg
Prtg
Jose Luis Martin
 
Utilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitorUtilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitor
Rita Aguilar
 
Antivirus, seguridad, protección.
Antivirus, seguridad, protección. Antivirus, seguridad, protección.
Antivirus, seguridad, protección.
Jonny Esquivel
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
Alonso Caballero
 
Antivirus
AntivirusAntivirus
Antivirus
Yuliana Martinez
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al software
carmenrico14
 
Virus mariana rios
Virus mariana riosVirus mariana rios
Virus mariana rios
luisa caceres de arismendi
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
elperrojaime
 
Antivirus(1)1
Antivirus(1)1Antivirus(1)1
Antivirus(1)1
Sharon Melisa Ortiz Oñate
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Jose Gonzales
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
nana nana
 
Antivirus
AntivirusAntivirus
Antivirus
mildred1980
 
Antivirus
AntivirusAntivirus
Antivirus
Reyna Alarcòn Flores
 
Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2
Beth Kanter
 
Expo tpc ef extraordinarios
Expo tpc ef extraordinariosExpo tpc ef extraordinarios
Expo tpc ef extraordinarios
Andreea C. Silva M
 

Más contenido relacionado

La actualidad más candente

Antivirus
AntivirusAntivirus
Antivirus
infiesleonardo
 
Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1
erwin leon castillo
 
Software
SoftwareSoftware
Software
alexaflaquita
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
erikita Sol
 
Manejo de prtg network monitor
Manejo de prtg network monitorManejo de prtg network monitor
Manejo de prtg network monitor
Stalin Eduardo Tusa Vitar
 
Prtg network monitor
Prtg network monitorPrtg network monitor
Prtg network monitor
Stalin Eduardo Tusa Vitar
 
Antivirus
AntivirusAntivirus
Antivirus
Edgar Haro
 
Prtg
PrtgPrtg
Prtg
Jose Luis Martin
 
Utilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitorUtilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitor
Rita Aguilar
 
Antivirus, seguridad, protección.
Antivirus, seguridad, protección. Antivirus, seguridad, protección.
Antivirus, seguridad, protección.
Jonny Esquivel
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
Alonso Caballero
 
Antivirus
AntivirusAntivirus
Antivirus
Yuliana Martinez
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al software
carmenrico14
 
Virus mariana rios
Virus mariana riosVirus mariana rios
Virus mariana rios
luisa caceres de arismendi
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
elperrojaime
 
Antivirus(1)1
Antivirus(1)1Antivirus(1)1
Antivirus(1)1
Sharon Melisa Ortiz Oñate
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Jose Gonzales
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
nana nana
 
Antivirus
AntivirusAntivirus
Antivirus
mildred1980
 
Antivirus
AntivirusAntivirus
Antivirus
Reyna Alarcòn Flores
 

La actualidad más candente (20)

Antivirus
AntivirusAntivirus
Antivirus
 
Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1
 
Software
SoftwareSoftware
Software
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Manejo de prtg network monitor
Manejo de prtg network monitorManejo de prtg network monitor
Manejo de prtg network monitor
 
Prtg network monitor
Prtg network monitorPrtg network monitor
Prtg network monitor
 
Antivirus
AntivirusAntivirus
Antivirus
 
Prtg
PrtgPrtg
Prtg
 
Utilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitorUtilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitor
 
Antivirus, seguridad, protección.
Antivirus, seguridad, protección. Antivirus, seguridad, protección.
Antivirus, seguridad, protección.
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
 
Antivirus
AntivirusAntivirus
Antivirus
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al software
 
Virus mariana rios
Virus mariana riosVirus mariana rios
Virus mariana rios
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
 
Antivirus(1)1
Antivirus(1)1Antivirus(1)1
Antivirus(1)1
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 

Destacado

Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2
Beth Kanter
 
Expo tpc ef extraordinarios
Expo tpc ef extraordinariosExpo tpc ef extraordinarios
Expo tpc ef extraordinarios
Andreea C. Silva M
 
Wiki Presentation
Wiki PresentationWiki Presentation
Wiki Presentation
Beth Kanter
 
Deel 1 waarom beschermen
Deel 1 waarom beschermenDeel 1 waarom beschermen
Deel 1 waarom beschermen
Sealer bvba
 
20151215 Company Profile Denkfaktur
20151215 Company Profile Denkfaktur20151215 Company Profile Denkfaktur
20151215 Company Profile Denkfaktur
Sabine Kopsch
 
Deel 6 transport en verwerking
Deel 6 transport en verwerkingDeel 6 transport en verwerking
Deel 6 transport en verwerking
Sealer bvba
 
MS Society
MS SocietyMS Society
MS Society
Beth Kanter
 
Deel 2 natuursteen sedimentgesteente
Deel 2 natuursteen sedimentgesteenteDeel 2 natuursteen sedimentgesteente
Deel 2 natuursteen sedimentgesteente
Sealer bvba
 
Deel 8 composiet en bescherming
Deel 8 composiet en beschermingDeel 8 composiet en bescherming
Deel 8 composiet en bescherming
Sealer bvba
 
UK Networked Nonprofit
UK Networked NonprofitUK Networked Nonprofit
UK Networked Nonprofit
Beth Kanter
 
April '16 - Recruiting, Onboarding & Mobile
April '16 - Recruiting, Onboarding & MobileApril '16 - Recruiting, Onboarding & Mobile
April '16 - Recruiting, Onboarding & Mobile
Dana S. White
 
Python 3.x quick syntax guide
Python 3.x quick syntax guidePython 3.x quick syntax guide
Python 3.x quick syntax guide
Universiti Technologi Malaysia (UTM)
 
Facilitating data discovery & sharing among agricultural scientific networks
Facilitating data discovery & sharing among agricultural scientific networksFacilitating data discovery & sharing among agricultural scientific networks
Facilitating data discovery & sharing among agricultural scientific networks
Nikos Manouselis
 
EFY 2016 - Temple Prep for Teens, pt.2
EFY 2016 - Temple Prep for Teens, pt.2EFY 2016 - Temple Prep for Teens, pt.2
EFY 2016 - Temple Prep for Teens, pt.2
Ben Bernards
 
Thwglobal presentation
Thwglobal presentationThwglobal presentation
Thwglobal presentation
Devi Lal Verma
 
Alaska PRSA
Alaska PRSAAlaska PRSA
Alaska PRSA
Beth Kanter
 
derecho constitucional comparado
derecho constitucional comparadoderecho constitucional comparado
derecho constitucional comparado
Sneak Soliben Comander
 
Scaling up food safety information transparency
Scaling up food safety information transparencyScaling up food safety information transparency
Scaling up food safety information transparency
Nikos Manouselis
 

Destacado (19)

Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2
 
Expo tpc ef extraordinarios
Expo tpc ef extraordinariosExpo tpc ef extraordinarios
Expo tpc ef extraordinarios
 
Wiki Presentation
Wiki PresentationWiki Presentation
Wiki Presentation
 
Deel 1 waarom beschermen
Deel 1 waarom beschermenDeel 1 waarom beschermen
Deel 1 waarom beschermen
 
20151215 Company Profile Denkfaktur
20151215 Company Profile Denkfaktur20151215 Company Profile Denkfaktur
20151215 Company Profile Denkfaktur
 
Deel 6 transport en verwerking
Deel 6 transport en verwerkingDeel 6 transport en verwerking
Deel 6 transport en verwerking
 
MS Society
MS SocietyMS Society
MS Society
 
Deel 2 natuursteen sedimentgesteente
Deel 2 natuursteen sedimentgesteenteDeel 2 natuursteen sedimentgesteente
Deel 2 natuursteen sedimentgesteente
 
10
1010
10
 
Deel 8 composiet en bescherming
Deel 8 composiet en beschermingDeel 8 composiet en bescherming
Deel 8 composiet en bescherming
 
UK Networked Nonprofit
UK Networked NonprofitUK Networked Nonprofit
UK Networked Nonprofit
 
April '16 - Recruiting, Onboarding & Mobile
April '16 - Recruiting, Onboarding & MobileApril '16 - Recruiting, Onboarding & Mobile
April '16 - Recruiting, Onboarding & Mobile
 
Python 3.x quick syntax guide
Python 3.x quick syntax guidePython 3.x quick syntax guide
Python 3.x quick syntax guide
 
Facilitating data discovery & sharing among agricultural scientific networks
Facilitating data discovery & sharing among agricultural scientific networksFacilitating data discovery & sharing among agricultural scientific networks
Facilitating data discovery & sharing among agricultural scientific networks
 
EFY 2016 - Temple Prep for Teens, pt.2
EFY 2016 - Temple Prep for Teens, pt.2EFY 2016 - Temple Prep for Teens, pt.2
EFY 2016 - Temple Prep for Teens, pt.2
 
Thwglobal presentation
Thwglobal presentationThwglobal presentation
Thwglobal presentation
 
Alaska PRSA
Alaska PRSAAlaska PRSA
Alaska PRSA
 
derecho constitucional comparado
derecho constitucional comparadoderecho constitucional comparado
derecho constitucional comparado
 
Scaling up food safety information transparency
Scaling up food safety information transparencyScaling up food safety information transparency
Scaling up food safety information transparency
 

Similar a 2. evaluacion de vulnerabilidades

1. penetration testing
1. penetration testing1. penetration testing
1. penetration testing
Jose Peña
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
Franciny Salles
 
Pentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentPentest vs Vulnerability Assessment
Pentest vs Vulnerability Assessment
Best Practices
 
tipos de pruebas.
tipos de pruebas.tipos de pruebas.
tipos de pruebas.
Juan Ravi
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
Daniel Fernandez Droniak
 
Analisis vulnera
Analisis vulneraAnalisis vulnera
Analisis vulnera
ELKIN JAVIER DE AVILA MANTILLA
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
Tensor
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
Tensor
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
YuniorGregorio2
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
Carlos Ansotegui Pardo
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
Polo Perez
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0
xavazquez
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
David Thomas
 
Pruebas software (1)
Pruebas software (1)Pruebas software (1)
Pruebas software (1)
René Pari
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidades
Iñigo Asin Martinez
 
Cadex Assessment Scanner
Cadex Assessment ScannerCadex Assessment Scanner
Cadex Assessment Scanner
Cadextechnology
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
Santiago Toribio Ayuga
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
XjabedmjX
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
XjabedmjX
 

Similar a 2. evaluacion de vulnerabilidades (20)

1. penetration testing
1. penetration testing1. penetration testing
1. penetration testing
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Pentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentPentest vs Vulnerability Assessment
Pentest vs Vulnerability Assessment
 
tipos de pruebas.
tipos de pruebas.tipos de pruebas.
tipos de pruebas.
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
 
Analisis vulnera
Analisis vulneraAnalisis vulnera
Analisis vulnera
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Pruebas software (1)
Pruebas software (1)Pruebas software (1)
Pruebas software (1)
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidades
 
Cadex Assessment Scanner
Cadex Assessment ScannerCadex Assessment Scanner
Cadex Assessment Scanner
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
 

Último

CURSO FINAL CONMINUCION-CHANCADO Y MOLIENDA
CURSO FINAL CONMINUCION-CHANCADO Y MOLIENDACURSO FINAL CONMINUCION-CHANCADO Y MOLIENDA
CURSO FINAL CONMINUCION-CHANCADO Y MOLIENDA
KruggerCossio1
 
26.-MARZO-SECTOR-MINERO-IDENTIFICACIÓN-DE-PELIGROS-Y-RIESGOS-CON-ENFOQUE-A-P...
26.-MARZO-SECTOR-MINERO-IDENTIFICACIÓN-DE-PELIGROS-Y-RIESGOS-CON-ENFOQUE-A-P...26.-MARZO-SECTOR-MINERO-IDENTIFICACIÓN-DE-PELIGROS-Y-RIESGOS-CON-ENFOQUE-A-P...
26.-MARZO-SECTOR-MINERO-IDENTIFICACIÓN-DE-PELIGROS-Y-RIESGOS-CON-ENFOQUE-A-P...
FlavioMedina10
 
1-AAP-RENAV-PyM Capacitación del Reglamento Nacional de Vehiculos.pdf
1-AAP-RENAV-PyM Capacitación del Reglamento Nacional de Vehiculos.pdf1-AAP-RENAV-PyM Capacitación del Reglamento Nacional de Vehiculos.pdf
1-AAP-RENAV-PyM Capacitación del Reglamento Nacional de Vehiculos.pdf
jlupo2024
 
Presentación Aislante térmico.pdf Transferencia de calor
Presentación Aislante térmico.pdf Transferencia de calorPresentación Aislante térmico.pdf Transferencia de calor
Presentación Aislante térmico.pdf Transferencia de calor
GerardoBracho3
 
1 ANALISIS DE MASA Y ENERGÍA DE VOLÚMENES DE CONTROL [Autoguardado].pptx
1 ANALISIS DE MASA Y ENERGÍA DE VOLÚMENES DE CONTROL [Autoguardado].pptx1 ANALISIS DE MASA Y ENERGÍA DE VOLÚMENES DE CONTROL [Autoguardado].pptx
1 ANALISIS DE MASA Y ENERGÍA DE VOLÚMENES DE CONTROL [Autoguardado].pptx
RenanWVargas
 
Juzgamiento-de-Ganado-Lechero-CATEGORIA-B-SWISS.pptx
Juzgamiento-de-Ganado-Lechero-CATEGORIA-B-SWISS.pptxJuzgamiento-de-Ganado-Lechero-CATEGORIA-B-SWISS.pptx
Juzgamiento-de-Ganado-Lechero-CATEGORIA-B-SWISS.pptx
Folke Claudio Tantahuillca Landeo
 
PRESENTACION TRANSFERENCIA FABIAN ALVAREZ.pdf
PRESENTACION TRANSFERENCIA FABIAN ALVAREZ.pdfPRESENTACION TRANSFERENCIA FABIAN ALVAREZ.pdf
PRESENTACION TRANSFERENCIA FABIAN ALVAREZ.pdf
fabian28735081
 
Gravimetria-Amalgamacion-y-Flotacion-del-Oro-pptx.pptx
Gravimetria-Amalgamacion-y-Flotacion-del-Oro-pptx.pptxGravimetria-Amalgamacion-y-Flotacion-del-Oro-pptx.pptx
Gravimetria-Amalgamacion-y-Flotacion-del-Oro-pptx.pptx
RobertoChvez25
 
Clase Gas Natural , en piura kdhifheugfjiebfijhebvcihebvifh
Clase Gas Natural , en piura kdhifheugfjiebfijhebvcihebvifhClase Gas Natural , en piura kdhifheugfjiebfijhebvcihebvifh
Clase Gas Natural , en piura kdhifheugfjiebfijhebvcihebvifh
FrancisJhonatanEnriq1
 
Nivelación topográfica tipos de nivelación
Nivelación topográfica tipos de nivelaciónNivelación topográfica tipos de nivelación
Nivelación topográfica tipos de nivelación
waldir orosco tinta
 
DISEÑO DE PLANTA TIPO CELULAR - Diseño de Plantas
DISEÑO DE PLANTA TIPO CELULAR - Diseño de PlantasDISEÑO DE PLANTA TIPO CELULAR - Diseño de Plantas
DISEÑO DE PLANTA TIPO CELULAR - Diseño de Plantas
HalmarMiranda
 
561425171-5-1-Modelos-de-Pronosticos.pptx
561425171-5-1-Modelos-de-Pronosticos.pptx561425171-5-1-Modelos-de-Pronosticos.pptx
561425171-5-1-Modelos-de-Pronosticos.pptx
Angel Tello
 
VARIABLE DE TESIS DE VIAS URBANAS- MATRIZ.docx
VARIABLE DE TESIS DE VIAS URBANAS- MATRIZ.docxVARIABLE DE TESIS DE VIAS URBANAS- MATRIZ.docx
VARIABLE DE TESIS DE VIAS URBANAS- MATRIZ.docx
ingadriango
 
OPERACIONES BÁSICAS (INFOGRAFIA) DOCUMENTO
OPERACIONES BÁSICAS (INFOGRAFIA) DOCUMENTOOPERACIONES BÁSICAS (INFOGRAFIA) DOCUMENTO
OPERACIONES BÁSICAS (INFOGRAFIA) DOCUMENTO
GERARDO GONZALEZ
 
Clase Isometricos parA circuitos de ingenieria
Clase Isometricos parA circuitos de ingenieriaClase Isometricos parA circuitos de ingenieria
Clase Isometricos parA circuitos de ingenieria
leonidasbajalquepuch
 
1°AIRE ACONDICIONADO-EQUIPOS & SISTEMAS.pdf
1°AIRE ACONDICIONADO-EQUIPOS & SISTEMAS.pdf1°AIRE ACONDICIONADO-EQUIPOS & SISTEMAS.pdf
1°AIRE ACONDICIONADO-EQUIPOS & SISTEMAS.pdf
luliolivera62
 
Características de los suelos como los histosoles.pptx
Características de los suelos como los histosoles.pptxCaracterísticas de los suelos como los histosoles.pptx
Características de los suelos como los histosoles.pptx
MONICADELROCIOMUNZON1
 
Fundamentos-Ensayos-Al-Fuego de oro y plata
Fundamentos-Ensayos-Al-Fuego de oro y plataFundamentos-Ensayos-Al-Fuego de oro y plata
Fundamentos-Ensayos-Al-Fuego de oro y plata
RobertoChvez25
 
TIA portal Bloques PLC Siemens______.pdf
TIA portal Bloques PLC Siemens______.pdfTIA portal Bloques PLC Siemens______.pdf
TIA portal Bloques PLC Siemens______.pdf
ArmandoSarco
 
Operaciones Básicas creadora Veronica Maiz
Operaciones Básicas creadora Veronica MaizOperaciones Básicas creadora Veronica Maiz
Operaciones Básicas creadora Veronica Maiz
carolina838317
 

Último (20)

CURSO FINAL CONMINUCION-CHANCADO Y MOLIENDA
CURSO FINAL CONMINUCION-CHANCADO Y MOLIENDACURSO FINAL CONMINUCION-CHANCADO Y MOLIENDA
CURSO FINAL CONMINUCION-CHANCADO Y MOLIENDA
 
26.-MARZO-SECTOR-MINERO-IDENTIFICACIÓN-DE-PELIGROS-Y-RIESGOS-CON-ENFOQUE-A-P...
26.-MARZO-SECTOR-MINERO-IDENTIFICACIÓN-DE-PELIGROS-Y-RIESGOS-CON-ENFOQUE-A-P...26.-MARZO-SECTOR-MINERO-IDENTIFICACIÓN-DE-PELIGROS-Y-RIESGOS-CON-ENFOQUE-A-P...
26.-MARZO-SECTOR-MINERO-IDENTIFICACIÓN-DE-PELIGROS-Y-RIESGOS-CON-ENFOQUE-A-P...
 
1-AAP-RENAV-PyM Capacitación del Reglamento Nacional de Vehiculos.pdf
1-AAP-RENAV-PyM Capacitación del Reglamento Nacional de Vehiculos.pdf1-AAP-RENAV-PyM Capacitación del Reglamento Nacional de Vehiculos.pdf
1-AAP-RENAV-PyM Capacitación del Reglamento Nacional de Vehiculos.pdf
 
Presentación Aislante térmico.pdf Transferencia de calor
Presentación Aislante térmico.pdf Transferencia de calorPresentación Aislante térmico.pdf Transferencia de calor
Presentación Aislante térmico.pdf Transferencia de calor
 
1 ANALISIS DE MASA Y ENERGÍA DE VOLÚMENES DE CONTROL [Autoguardado].pptx
1 ANALISIS DE MASA Y ENERGÍA DE VOLÚMENES DE CONTROL [Autoguardado].pptx1 ANALISIS DE MASA Y ENERGÍA DE VOLÚMENES DE CONTROL [Autoguardado].pptx
1 ANALISIS DE MASA Y ENERGÍA DE VOLÚMENES DE CONTROL [Autoguardado].pptx
 
Juzgamiento-de-Ganado-Lechero-CATEGORIA-B-SWISS.pptx
Juzgamiento-de-Ganado-Lechero-CATEGORIA-B-SWISS.pptxJuzgamiento-de-Ganado-Lechero-CATEGORIA-B-SWISS.pptx
Juzgamiento-de-Ganado-Lechero-CATEGORIA-B-SWISS.pptx
 
PRESENTACION TRANSFERENCIA FABIAN ALVAREZ.pdf
PRESENTACION TRANSFERENCIA FABIAN ALVAREZ.pdfPRESENTACION TRANSFERENCIA FABIAN ALVAREZ.pdf
PRESENTACION TRANSFERENCIA FABIAN ALVAREZ.pdf
 
Gravimetria-Amalgamacion-y-Flotacion-del-Oro-pptx.pptx
Gravimetria-Amalgamacion-y-Flotacion-del-Oro-pptx.pptxGravimetria-Amalgamacion-y-Flotacion-del-Oro-pptx.pptx
Gravimetria-Amalgamacion-y-Flotacion-del-Oro-pptx.pptx
 
Clase Gas Natural , en piura kdhifheugfjiebfijhebvcihebvifh
Clase Gas Natural , en piura kdhifheugfjiebfijhebvcihebvifhClase Gas Natural , en piura kdhifheugfjiebfijhebvcihebvifh
Clase Gas Natural , en piura kdhifheugfjiebfijhebvcihebvifh
 
Nivelación topográfica tipos de nivelación
Nivelación topográfica tipos de nivelaciónNivelación topográfica tipos de nivelación
Nivelación topográfica tipos de nivelación
 
DISEÑO DE PLANTA TIPO CELULAR - Diseño de Plantas
DISEÑO DE PLANTA TIPO CELULAR - Diseño de PlantasDISEÑO DE PLANTA TIPO CELULAR - Diseño de Plantas
DISEÑO DE PLANTA TIPO CELULAR - Diseño de Plantas
 
561425171-5-1-Modelos-de-Pronosticos.pptx
561425171-5-1-Modelos-de-Pronosticos.pptx561425171-5-1-Modelos-de-Pronosticos.pptx
561425171-5-1-Modelos-de-Pronosticos.pptx
 
VARIABLE DE TESIS DE VIAS URBANAS- MATRIZ.docx
VARIABLE DE TESIS DE VIAS URBANAS- MATRIZ.docxVARIABLE DE TESIS DE VIAS URBANAS- MATRIZ.docx
VARIABLE DE TESIS DE VIAS URBANAS- MATRIZ.docx
 
OPERACIONES BÁSICAS (INFOGRAFIA) DOCUMENTO
OPERACIONES BÁSICAS (INFOGRAFIA) DOCUMENTOOPERACIONES BÁSICAS (INFOGRAFIA) DOCUMENTO
OPERACIONES BÁSICAS (INFOGRAFIA) DOCUMENTO
 
Clase Isometricos parA circuitos de ingenieria
Clase Isometricos parA circuitos de ingenieriaClase Isometricos parA circuitos de ingenieria
Clase Isometricos parA circuitos de ingenieria
 
1°AIRE ACONDICIONADO-EQUIPOS & SISTEMAS.pdf
1°AIRE ACONDICIONADO-EQUIPOS & SISTEMAS.pdf1°AIRE ACONDICIONADO-EQUIPOS & SISTEMAS.pdf
1°AIRE ACONDICIONADO-EQUIPOS & SISTEMAS.pdf
 
Características de los suelos como los histosoles.pptx
Características de los suelos como los histosoles.pptxCaracterísticas de los suelos como los histosoles.pptx
Características de los suelos como los histosoles.pptx
 
Fundamentos-Ensayos-Al-Fuego de oro y plata
Fundamentos-Ensayos-Al-Fuego de oro y plataFundamentos-Ensayos-Al-Fuego de oro y plata
Fundamentos-Ensayos-Al-Fuego de oro y plata
 
TIA portal Bloques PLC Siemens______.pdf
TIA portal Bloques PLC Siemens______.pdfTIA portal Bloques PLC Siemens______.pdf
TIA portal Bloques PLC Siemens______.pdf
 
Operaciones Básicas creadora Veronica Maiz
Operaciones Básicas creadora Veronica MaizOperaciones Básicas creadora Veronica Maiz
Operaciones Básicas creadora Veronica Maiz
 

2. evaluacion de vulnerabilidades

  • 2. Evaluación de vulnerabilidades Evaluación de vulnerabilidades vs. Penetration test Hay mucha confusión entre lo que es una evaluación de vulnerabilidades y el penetration test Como pentester es tu responsabilidad entender las necesidades del cliente y apartir de ahi aconsejarle y entregarle la solución más apropiada cuando el cliente no tiene las herramientas y el conocimiento necesario para tomar la decisión correcta.
  • 3. Evaluación de vulnerabilidades Una evaluación de vulnerabilidades es un estudio de todas las vulnerabilidades que se encuentran dentro de un red o en la aplicacion de nuestro cliente La principal diferencia con un test de penetración es que no vamos a proceder con la fase de explotación, simplemente vamos a entregar pruebas de que existe vulnerabilidades dentro de cada sistema
  • 4. Evaluacion de vulnerabilidades Evaluar vulnerabilidades Escribir la lista de vulnerabilidades Encontrar o programar un exploit por cada vulnerabilidad que encontremos Explotar la o las vulnerabilidades Encontrar mas hosts/ elavar privilegios También debemos tomar en cuenta que la evaluación de vulnerabilidades es una de las fases más delicadas en el test de penetración, en algún punto del test el penetration tester querra construir una lista de las vulnerabilidades encontradas para después ir a través de cada vulnerabilidad tratando de explotarlas
  • 5. Evaluación de vulnerabilidades Cada vulnerabilidad explotada puede proveer más privilegios al pentester o puede encontrar un acceso a toda una nueva red que no habia detectado anteriormente Una vez que se detecta una nueva red el proceso siguiente será una nueva evaluación de vulnerabilidades de esta nueva red encontrada y eventualmente procederá a la explotación de esta red
  • 6. Evaluación de vulnerabilidades Claramente podemos decir que un test de penetración es mucho más completa en términos de vulnerabilidades descubiertas en comparación con una evaluación de vulnerabilidades. Por otra parte, si no hay una fase real de explotación, una evaluación de vulnerabilidad falla cuando se determina si hay amenazas reales y sobre todo que tan críticas son las fallas. Una evaluación de vulnerabilidades usualmente toma menos tiempo y una carga más ligera de las infraestructuras críticas de los clientes, por lo tanto, se aconseja exponer las vulnerabilidades en entornos de producción, cuando una prueba de penetración sería demasiado invasiva
  • 7. Evaluación de vulnerabilidades Herramientas para la evaluación de vulnerabilidades: Las evaluaciones de vulnerabilidades puede ser remotas o locales Una evaluación remota de vulnerabilidad usualmente se hace por medio del uso de un escáner de vulnerabilidades. Estos escáneres son herramientas que usan una base de datos que contiene información acerca de vulnerabilidades conocidas o auditorias de seguridad para descubrir las vulnerabilidades de los sistemas remotos
  • 8. Evaluación de vulnerabilidades Es responsabilidad del fabricante mantener la herramienta actualizada con las ultimas vulnerabilidades conocidas. Entre más actualizada está la base de datos, tendremos mejores y más relevantes resultados. La herramienta más completa en escáneres de vulnerabilidades es Nessus desarrollada por Tenable Network. Otras escaners de vulnerabilidades populares son: Openvas, eEye Retina, Saint, Gfi Languard.
  • 9. Evaluación de vulnerabilidades Nessus es un escaner de vulnerabilidades fácil de usar y muy poderoso, tanto puede ser usado en compañias pequeñas como en enormes corporaciones. Nessus es gratuito con su licencia Home, para uso no comercial, cualquiera lo puede instalar y usarlo para asegurar su red local.
  • 10. Evaluación de vulnerabilidades Cuando se instala nessus tenemos 2 componentes: un cliente y un servidor
  • 11. Evaluación de vulnerabilidades El cliente es lo que tu ejecutarás para configurar el escaneo
  • 12. Evaluación de vulnerabilidades El server es el componente que realmente realiza el escaneo y envia el reporte al cliente
  • 13. Evaluación de vulnerabilidades Podemos ejecutar el cliente y el server en la misma computadora, de hecho es lo más comun ejecutar tanto el cliente como el server en la misma computadora
  • 14. Evaluación de vulnerabilidades Estos son los pasos que las herramientas de escaneo de vulnerabilidades siguen: 1) Determinar cuales puertos estan abiertos. 2) Determinar que servicio está corriendo en cada puerto. 3) Busqueda de vulnerabilidades en la base de datos para encontrar vulnerabilidades en las versiones del servicio encontrado. 4) Envia exploraciones al sistema remoto para verificar que realmente si existe la vulnerabilidad detectada.