Material De Apoyo 2

Primero hacer una revisión del inventario y mantenimiento de los sistemas tanto de software y hardware cableado e infraestructura del CENTRO DE PROCESO DE DATOS. Generalmente las empresas centralizan la información en servidores donde se hacen Backus y donde están los servidores que alojan software y aplicaciones que los usuarios de la empresa si no se tiene es necesario implementarlo. Verificar el subsistema de discos que se están utilizando en los servidores si cumple con las características de rendimiento y si está soportando los fallos de discos para evitar perdida de información. Y el nivel utilizado en los mismos. También se debe verificar el Sistema operativo del servidor, si es el más adecuado y si está aplicando las políticas de seguridad a los usuarios clientes en el dominio o el directorio activo, verificar los permisos de lectura escritura y el roll de los mismos sea el adecuado para evitar. Definir una política de copias de seguridad puede ser un servidor de respaldo de información, dispositivos externos o en la nube y un plan de contingencia ante desastres naturales u otros que no podemos preveer. En cuanto a los usuarios según su nivel es importante que estén capacitados y manejen Los distintos controles de autenticación y acceso ayudan a prevenir uso no autorizado de cualquier recurso. Entre estos controles se tienen: Passwords (contraseñas) que deben ser cambiados periódicamente y con mayúsculas, minúsculas, números y caracteres especiales para evitar la suplantación, así como PINs (Número de Identificación personal), Tarjetas inteligentes and tokens, Dispositivos biométricos, Certificados digitales, Negociaciones desafío-respuesta (Challenge-response), Autenticación Kerberos dispositivos que ayudan a la seguridad y confidencialidad de la información

Metodologías Ethical Hacking El Ethical Hacking, es de las especializaciones de seguridad informática más apetecidas por las grandes empresas a nivel mundial, todos los días crece la necesidad de tener personas con los suficientes conocimientos en estas áreas, para contrarrestar los ataques de la creciente comunidad de hackers, la cual tiene mayor representación en Asia y el Medio Oriente, pero que esta regada por todo el mundo. Es muy delgada la línea entre un hacker de sombrero blanco y un hacker de sombrero negro, a nivel de conocimientos ambos tienen la capacidad de reconocer vulnerabilidades y/o fallos en sistemas, para sacar provecho de la situación, el hacker ético tiene como misión explotar estas vulnerabilidades y reportar las mismas, el fin nunca es el sacar provecho económico de la situación, por lo contrario el objetivo es hacer recomendaciones y/o diseñar controles para la mejora del sistema. Las metodologías más usadas en el Ethical Hacking son las siguientes:

OSSTMM (Open-Source Security Testing Methodology Manual).

Metodología que propone un proceso de evaluación de una serie de áreas que refleja de manera fiel los niveles de seguridad presentes en la infraestructura que va a ser auditada, a estos niveles de seguridad se le denominan comúnmente “Dimensiones de Seguridad” y normalmente consiste en analizar los siguientes factores. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Visibilidad Acceso Confianza Autenticación Confidencialidad Privacidad Autorización Integridad Seguridad Alarma

Como parte de un trabajo secuencial la metodología OSSTMM consta de 6 ítems los cuales comprenden todo sistema actual, estos son: 1. 2. 3. 4. 5. 6.

Seguridad de la Información Seguridad de los Procesos Seguridad en las tecnologías de Internet Seguridad en las comunicaciones Seguridad inalámbrica Seguridad Física

ISSAF (Information Systems Security Assessment Framework).

Marco metodológico de trabajo desarrollado por la OISSG que permite clasificar la información de la evaluación de seguridad en diversos dominios usando

diferentes criterios de prueba. Algunas de las características más representativas de ISSAF son: Brinda medidas que permiten reflejar las condiciones de escenarios reales para las evaluaciones de seguridad. Esta metodología se encuentra principalmente enfocada en cubrir los procesos de seguridad y la evaluación de los mismos para así obtener un panorama completo de las vulnerabilidades existentes. Permite el desarrollo de matriz de riesgo para verificar la efectividad en la implementación de controles.

OWASP (Open Web Application Security Project).

Metodología de pruebas enfocada en la seguridad de aplicaciones, El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo, algunas de las características más representativas deOWASP son: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Pruebas de firma digital de aplicaciones Web. Comprobaciones del sistema de autenticación. Pruebas de Cross Site Scripting. Inyección XML Inyección SOAP HTTP Smuggling Sql Injection LDAP Injection Polución de Parámetros Cookie Hijacking Cross Site Request Forgery

En el siguiente diagrama se puede apreciar el flujo de un ataque establecido contra una aplicación Web desarrollado bajo el marco de la metodología OWASP. CEH (Certified Ethical Hacker).

Metodología de pruebas de seguridad desarrollada por el International Council of Electronic Commerce Consultants (EC-Council) algunas de las fases enunciadas en esta metodología son: 1. 2. 3. 4. 5.

Obtención de Información. Obtención de acceso. Enumeración. Escala de privilegios. Reporte

OFFENSIVE SECURITY

Metodología líder a nivel mundial para el desarrollo de pruebas de penetración y estudios de seguridad, la metodología contempla principalmente los métodos para el desarrollo de estudios de seguridad enfocados en seguridad ofensiva y teniendo como marco la posibilidad real de explotación independientemente de los indicadores de riesgos y vulnerabilidades, las principales ventajas de adoptar este marco metodológico son: Enfoque sobre la explotación real de las plataformas. 2. Enfoque altamente intrusivo. 3. Enfoque orientado a resultados tangibles y no a estadísticas generadas por herramientas. 1.

Recolección de Información. Recolección de Información para identificar objetivos específicos (servidores, enrutadores, firewalls, RAS) en las redes objetivo. De acuerdo al escenario escogido de las pruebas, se pueden dar dos situaciones:

Pruebas Ciegas, en donde el cliente NO proporciona ningún tipo de información y se lleva a cabo la tarea de descubrimiento de la misma, para la planeación del ataque. En este escenario las pruebas toman más tiempo por cuanto se debe recolectar más información inicialmente. 2. Pruebas con Información, donde el cliente proporciona información básica de sus redes, servidores, elementos etc. y se puede optimizar el tiempo de pruebas orientándolas a los objetivos específicos definidos. 1.

Análisis de Vulnerabilidades Consiste en determinar problemas de seguridad en los puntos hallados en la fase I “Recolección de Información”. Estos problemas de seguridad se pueden determinar usando herramientas especializadas o de manera manual. Dependiendo del tipo de herramienta utilizada y la arquitectura de seguridad de la organización, el análisis de las vulnerabilidades detectadas puede tardar más tiempo, ya que para tener mayores probabilidades de éxito, es necesario determinar los falsos positivos. Como resultado del análisis de vulnerabilidades, se determina la estrategia a seguir durante las pruebas de seguridad. Definición de Objetivos Con base en la información generada por la fase de “Análisis de vulnerabilidades”, determinar aquellos objetivos específicos que puedan proporcionar una mayor probabilidad de éxito durante el ataque o aumentar el grado de penetración para alcanzar cualquiera de las metas definidas. Es común que los objetivos definidos como principales, tengan un mayor nivel de seguridad, por lo cual puede ser más difícil comprometerlos o vulnerarlos. Teniendo en cuenta lo anterior, para lograr una mayor objetividad en las pruebas y determinar el riesgo real existente, es necesario involucrar dentro de las mismas, algunos objetivos secundarios, desde los cuales, debido al grado de confianza, se puede llegar de manera más directa a los objetivos principales. Ataque

Atacar los objetivos seleccionados en la fase anterior utilizando las vulnerabilidades descubiertas. Dentro de la etapa del ataque, se prueba la existencia real de las vulnerabilidades encontradas en las etapas anteriores, para así determinar el impacto de las mismas, en la organización. Dentro del desarrollo de los ataques, pueden surgir nuevas vulnerabilidades no detectadas en las fases anteriores, las cuales serán incluidas dentro de esta etapa, para su verificación. Análisis de Resultados Análisis de resultados del ataque. Al lograr el grado de penetración interna para alcanzar la meta se repite el ciclo volviendo a la fase 1. Si la meta ha sido alcanzada o se define el fin de las pruebas, se sigue al último paso. Análisis Final y Documentación Generación de un informe detallado con los resultados obtenidos durante todo el proceso de ejecución de las pruebas, con el correspondiente análisis de dicha información para poder ser interpretada de manera correcta y entender las implicaciones a nivel de seguridad sobre la infraestructura informática analizada, con las recomendaciones necesarias para solucionar dichos problemas. Incluye adicionalmente los siguientes puntos: · ·

Aspectos positivos encontrados durante las pruebas Oportunidades de mejoramiento En la siguiente gráfica se puede apreciar el flujo de trabajo usado para el desarrollo de pruebas de penetración de una manera profesional usando las metodologías anteriormente descritas.

Herramientas de Ethical Hacking Dentro de las metodologías utilizadas en el Ethical Hacking, se utilizan entre otras las siguientes herramientas: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.

nmap ncat ncrack metasploit framework maltego yersinia dsniff ettercap ike-scan Nessus Social Engineering Toolkit Backtrack5.

Nmap

Herramienta estándar usada mundialmente por miles de consultores en el mundo, algunas de las características mas representativas de nmap son: 1. 2. 3. 4. 5.

Escaneo de Puertos Escaneo de servicios Escaneo de vulnerabilidades Escaneo de redes Escaneo por scripts

Ncat

Utilidad que tiene entre otras las siguientes características: 1. 2. 3. 4. 5.

Ncrack

Redirección TCP y UDP Escaner de puertos Service binding Soporte para SSL Soporte para Proxys

Herramienta para cracking de autenticación de alta velocidad, algunas de las características de esta herramienta son: 1. 2. 3. 4. 5. 6. 7.

Soporte para RDP Soporte para SSH Soporte para SMB Soporte para VNC Soporte para VNC Soporte para FTP Soporte para Telnet

Metasploit Framework

Framework de explotación desarrollado en Ruby usado ampliamente a nivel mundial por consultores en seguridad, algunas de las características destacadas del framework son:

1. 2. 3. 4.

Amplia base de datos de exploits Diversos Payloads de ejecución Soporte para post-explotación Permite atacar diferentes plataformas

Maltego Herramienta ampliamente usada mundialmente para el desarrollo de etapas de obtención de información. Los resultados proporcionados por Maltego pueden ser usados en diferentes fases de un ataque.

Yersinia

Herramienta de red que permite tomar ventaja de los diferentes tipos de vulnerabilidades en diferentes protocolos de red, con Yersinia se pueden realizar ataques contra los siguientes protocolos.

1. 2. 3. 4. 5. 6. 7. 8. 9.

Spanning Tree Protocol (STP) Cisco Discovery Protocol (CDP) Dynamic Trunking Protocol (DTP) Dynamic Host Configuration Protocol (DHCP) Hot Standby Router Protocol (HSRP) IEEE 802.1Q IEEE 802.1X Inter-Switch Link Protocol (ISL) VLAN Trunking Protocol (VTP)

Dsniff Sniffer usado ampliamente en pruebas de penetración con capacidades interceptación de tráfico de red. Adicionalmente Dsniff incluye las herramientas arpspoof, dnsspoof y macof.

Ettercap

Sniffer de red con capacidades de realizar ataques del tipo Man In The Middle y con un amplio soporte de plugins. IKE-SCAN

Herramienta especializada para realizar ataques sobre firewalls, concentradores de VPN’s y dispositivos que usen el protocolo IKE. Nessus

Scanner de vulnerabilidades conocido ampliamente a nivel mundial con soporte de scripts personalizados mediante el uso de Nessus Attack Scripting Language NASL. 1.

Algunas de las características más representativas de Nessus son:

2. 3. 4. 5.

Permanente actualización Reportes de riesgos con categorización del mismo. Posibilidad de escanear máquinas de forma simultánea. Posibilidad de integración con otras herramientas como metasploit y nmap.

Social Engineer Toolkit Herramienta líder mundialmente para el desarrollo de vectores de ataque relacionados con ingeniería social, incluyendo Phising, Credential Harvesting y otros vectores de ataque dirigidos a explotar vulnerabilidades humanas en usuarios y administradores. Backtrack5

Principal distribución cuyo propósito específico es la seguridad en redes, considerada actualmente la distribución más avanzada de Linux diseñada con un propósito específico de seguridad, desarrollada por profesionales de la seguridad y en total alineación con las metodologías descritas anteriormente, cuenta de forma nativa con más de 300 herramientas de seguridad incorporadas.

Bueno esto es todo por ahora, espero y estas Metodologías y Herramientas les sirvan para iniciar en el Ethical Hacking

http://hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/view/1435/1874 9.1. Metodologías de Análisis de Seguridad Actualmente existen varias metodologías asociadas a este tipo de análisis, muchas de estas son de licencia abierta y están disponibles para su descarga y lectura. Una de estas es desarrollada por la ISECOM (Institute for Security and Open

Methodologies), llamada OSSTM (Open Source Test Methodology), la cual se encuentra ligada al manual OSSTMM (Open Source Security Test Methodology Manual). Desarrollado por Pete Herzog y 130 profesionales, todos multidisciplinarios, entre los cuales se encontraban, security testes, hackers, abogados, legisladores, entre otros. Esta metodología se caracteriza por enfocarse en los siguientes aspectos, con el propósito de obtener métricas confiables y de esta manera poder emitir decisiones objetivas. • Ser cuantificable. • Se valida en el tiempo. • Ser consistente. • Cumplir con regulaciones (Leyes nacionales e internacionales). 38 Por otra parte, en un análisis de seguridad es importante tener Ejecución del escaneo Se establece con el Oficial de Seguridad de POSITIVA realizar la prueba de escaneo con explotación local, es decir, se ejercen funciones como atacante, con acceso previo a los servidores residentes en su Casa Matriz, En este caso, la máquina asignada se utiliza como plataforma de lanzamiento para conectarse a otros objetivos vulnerables Se establece que la herramienta integrada de pruebas de penetración - SAINT – será la elegida para realizar los escaneos principalmente por que los procesos CORE de Positiva están implementados con Bases de Datos presentadas en Servidores con Sistema Operativo SOLARIS, característica principal de SAINT que analiza cada sistema de una red para los servicios TCP y UDP, detectando lo que podría permitir a un atacante obtener acceso no autorizado, crear una denegación de servicio u obtener información confidencial sobre la red. La herramienta SAINT utilizada permite identificar vulnerabilidades entre sistemas operativos, dispositivos de red, aplicaciones Web, bases de datos. Se realiza este escaneo en cuatro etapas: • Verifica en línea los servicios TCP y UDP de la red • Analiza el tráfico para identificar intentos de acceso no autorizado, denegación de servicio u obtener información confidencial sobre la red de un atacante no identificado • Comprueba las vulnerabilidades, categorizándolas de varias maneras, de acuerdo a estándares internacionales, según la gravedad o el tipo • Describe la forma de corregir las vulnerabilidades, suministrando a veces los enlaces a nuevas versiones de software que eliminarán las vulnerabilidades detectadas. La siguiente secuencia de ilustraciones muestra la forma como se configura la herramienta SAINT para realizar el escaneo de los diferentes componentes de las

Para garantizar la seguridad informática se requiere de un método y el uso de herramientas destinadas a proteger la información; uno de esos servicios lo constituye el Ethical hacking, disciplina que se basa en el hecho de que para estar protegido se debe conocer cómo operan y qué herramientas usan los hackers. Un proceso de hacking ético contempla lo que se conoce como pruebas de 21 Hace referencia a que la organización expone de forma abierta la arquitectura tecnología al analista e indica explícitamente los nombres y direcciones de los sistemas a evaluar penetración, PEN-TEST, para la comprobación y clasificación de las vulnerabilidades (fallas de seguridad o riesgo para una organización). Luego de analizar las necesidades de Positiva Compañía de Seguros se decide realizar el Test de intrusión sin objetivo, es decir, examinar la totalidad de los componentes en los sistemas informáticos presentes en la empresa, teniendo en cuenta que posee infraestructura de red propia con servicios accesibles desde el exterior (Aplicaciones en tres capas, aloja su propia página web y permite el acceso remoto a sus trabajadores por VPN). Las actividades realizadas se enmarcan dentro de la metodología para realización de pruebas de intrusión que incluye fases relacionadas en estándares libres como lo es OWASP, OSSTMM, ISSAF y comerciales como EC-Council. Se lleva a cabo la reunión de Planeación Preliminar, donde se decide

con el Oficial de Seguridad de TI los sistemas informáticos que entrarán dentro del alcance del test y se establece la siguiente lista de actividades: 1. Actividades Preliminares 2 Reunión de Planeación preliminar 3 Plan de Proyecto 4 Verificación preliminar de Equipos y Servicios 5 Reinicio de Servidores 6 Modificación de Script Principal de Hardening 7. Pruebas de Funcionalidad 8 Pruebas de Seguridad 9. Pruebas de Funcionalidad a largo plazo 10. Documentación Final del Proyecto La siguiente figura muestra el Esquema de metodología de Pruebas de Intrusión acordado en la Planeación del proyecto Ilustración 4 Metodología de Pruebas Identificación de Información Análisis de Vulnerabilidades Definición de Objetivos Análisis Ataque resultados Análisis final y documentación INICIAL DOCUMENTACIÓN ATAQUE Fuente: El autor Al final de este ejercicio se entrega a la Vicepresidencia de TIC de Positiva esta metodología que le permitirá apoyar la prevención de incidentes de Seguridad de la Información a través de pruebas de vulnerabilidades, pruebas de intrusión (hacking ético) y aseguramiento de los sistemas de información y servicios tecnológicos con una periodicidad recomendada de mínimo cada 6 meses https://seguridadinformaticahoy.blogspot.com/2013/02/metodologias-y-herramientas-deethical.html