Seguridad de redes
Hola a todos, necesito encontrar una manera o metodología para evaluar las seguridad en las redes, necesito un sitio en la que pueda en contrar información completa de esto, o si me pueden informar sobre sitios que presentan información sobre pruebas de penetración a través de internet, se les agradezco de antemano.
1 Respuesta
Respuesta de kuerti
1
Tu pregunta tiene dos respuestas: la metodología y los escraches a empresas; para la primera, tengo respuestas. Sabrás que para el caso de test de penetración no existe un procedimiento establecido... porque
cada red a auditar es un mundo diferente, dice la url http://mailman.argo.es/pipermail/hacking/2001-January/000033.html. SIgue diciendo:
En un principio lo que se hace es recolectar información suficiente como para que tuvieras una idea de la topología de la red y de los
elementos que tienes en ella (si has podido realizar un scan desde la propia red, por
detrás del cortafuegos, entonces seguro que tienes una cantidad indecente de
"chicha").
Una vez definida la topología, hay que distinguir dos tipos de elementos: las máquinas que deseamos controlar (que suelen ser las más jugosas de la red, como puede ser el cortafuegos, la consola de gestión, la máquina de backups...), y las máquinas a las
que podemos lograr acceso.
El siguiente punto es lograr una vía de entrada, una cabeza de puente para la
invasión. Se supone que durante toda la etapa de análisis anterior se ha podido
recoger información que pueda llegar a vulnerar alguna de las máquinas de la red (si no has sacado NADA de nada, eso es que o has hecho algo mal, o los tipos que han configurado la red, o ya han sufrido otra auditoría, o son REALMENTE buenos). Una vez
tienes una entrada en una máquina, lo primero es obtener acceso root (estas cosas las cuento a grandes rasgos, cada cual verá cómo hacerlo).
Una vez abierta la caja (que es siempre lo más difícil), es cuestión de tener
paciencia. Se aprovechan las relaciones de confianza entre máquinas (esos fantásticos scripts de backup que utilizan rsh y .rhosts), se instalan unos sniffers de red para
capturar contraseñas, se realizan ataques de "secuestro de conexión" sobre sesiones de
administración a altas horas de la noche.
En este punto se ve la preocupación por la seguridad de los admin. Es sencíllisimo encontrar /etc/passwd con pass tiradas de crackear, contraseñas de acceso escritas en scripts que automatizan tareas, contraseñas que se repiten en varios equipos... Por
triste que parezca, la mayoría de las empresas creen que solo por tener un cortafuegos ya están totalmente a salvo, y ni se preocupan de desactivar el "echo/chargen/daytime"
De sus máquinas Sun. Y por eso pasa lo que pasa.
Una vez alcanzado las máquinas objetivo, se da por terminada la intrusión (la idea es
intentar ahondar lo más posible, pero como estas cosas van por tiempo, y el tiempo es dinero, es mejor fijar unos objetivos y limitarse a cumplirlos. Además, solo con que entres hasta donde te propones, es suficiente como para darles un "susto").
Dos consideraciones: En primer lugar, a menos que te hayan dado permiso expreso para hacerlo (que no suele ser nunca), NO SE PUEDE CORTAR EL SERVICIO. Si su servidor web cae fulminado por tu DoS a las 12:00, rodarán cabezas. La tuya la primera. Todo aquel ataque que pueda disrumpir el servicio queda totalmente descartado (ya sé que se limita algo el rango de ataques, pero el cliente paga para mejorar el servicio, no
para degradarlo...).
En segundo lugar, hay que establecer antes de realizar la auditoría si se va a dar o no aviso instantáneo al cliente de las vulnerabilidades graves encontradas. Esto puede resultar bueno por un lado (las cosas feas se resuelven
antes) pero también contraproducente (si están avisados de un ataque, pueden tapar el agujero, y es una vía menos de entrada que tienes).
Es recomendable guardar un registro de todas las actuaciones que se van realizando en cada máquina (para guardarte las espaldas) mediante el comando "script", para así
lue
cada red a auditar es un mundo diferente, dice la url http://mailman.argo.es/pipermail/hacking/2001-January/000033.html. SIgue diciendo:
En un principio lo que se hace es recolectar información suficiente como para que tuvieras una idea de la topología de la red y de los
elementos que tienes en ella (si has podido realizar un scan desde la propia red, por
detrás del cortafuegos, entonces seguro que tienes una cantidad indecente de
"chicha").
Una vez definida la topología, hay que distinguir dos tipos de elementos: las máquinas que deseamos controlar (que suelen ser las más jugosas de la red, como puede ser el cortafuegos, la consola de gestión, la máquina de backups...), y las máquinas a las
que podemos lograr acceso.
El siguiente punto es lograr una vía de entrada, una cabeza de puente para la
invasión. Se supone que durante toda la etapa de análisis anterior se ha podido
recoger información que pueda llegar a vulnerar alguna de las máquinas de la red (si no has sacado NADA de nada, eso es que o has hecho algo mal, o los tipos que han configurado la red, o ya han sufrido otra auditoría, o son REALMENTE buenos). Una vez
tienes una entrada en una máquina, lo primero es obtener acceso root (estas cosas las cuento a grandes rasgos, cada cual verá cómo hacerlo).
Una vez abierta la caja (que es siempre lo más difícil), es cuestión de tener
paciencia. Se aprovechan las relaciones de confianza entre máquinas (esos fantásticos scripts de backup que utilizan rsh y .rhosts), se instalan unos sniffers de red para
capturar contraseñas, se realizan ataques de "secuestro de conexión" sobre sesiones de
administración a altas horas de la noche.
En este punto se ve la preocupación por la seguridad de los admin. Es sencíllisimo encontrar /etc/passwd con pass tiradas de crackear, contraseñas de acceso escritas en scripts que automatizan tareas, contraseñas que se repiten en varios equipos... Por
triste que parezca, la mayoría de las empresas creen que solo por tener un cortafuegos ya están totalmente a salvo, y ni se preocupan de desactivar el "echo/chargen/daytime"
De sus máquinas Sun. Y por eso pasa lo que pasa.
Una vez alcanzado las máquinas objetivo, se da por terminada la intrusión (la idea es
intentar ahondar lo más posible, pero como estas cosas van por tiempo, y el tiempo es dinero, es mejor fijar unos objetivos y limitarse a cumplirlos. Además, solo con que entres hasta donde te propones, es suficiente como para darles un "susto").
Dos consideraciones: En primer lugar, a menos que te hayan dado permiso expreso para hacerlo (que no suele ser nunca), NO SE PUEDE CORTAR EL SERVICIO. Si su servidor web cae fulminado por tu DoS a las 12:00, rodarán cabezas. La tuya la primera. Todo aquel ataque que pueda disrumpir el servicio queda totalmente descartado (ya sé que se limita algo el rango de ataques, pero el cliente paga para mejorar el servicio, no
para degradarlo...).
En segundo lugar, hay que establecer antes de realizar la auditoría si se va a dar o no aviso instantáneo al cliente de las vulnerabilidades graves encontradas. Esto puede resultar bueno por un lado (las cosas feas se resuelven
antes) pero también contraproducente (si están avisados de un ataque, pueden tapar el agujero, y es una vía menos de entrada que tienes).
Es recomendable guardar un registro de todas las actuaciones que se van realizando en cada máquina (para guardarte las espaldas) mediante el comando "script", para así
lue
Che, se me cortó la comunicación justo que te estaba respondiendo. Sigo:
Es recomendable guardar un registro de todas las actuaciones que se van realizando en
cada máquina (para guardarte las espaldas) mediante el comando "script", para así
luego tener más fácil la tarea de "limpieza" (cuando la auditoría finaliza, hay que
limpiar de sniffers, rootkits y demás lindezas toda la red).
También tenés un buen informe en www.dvc.es/osstmm/files/osstmm_test_parameter-es.htm
Y en
http://www.zonavirus.com/Detalle_Categoria.asp?Categoria=E-Books, tenés un manual de redes y linux que tiene bastante de test de penetración.
Para la segunda parte de la pregunta (chusmerío sobre qué sitios estuvieron testeados) te cuento que no hay mucho por el tema de confidencialidad. (Y sorry, pero yo tampoco te diría mucho sobre el tema, puesto que me estoy vendiendo, si me comprendés...). Pero en revistas especializadas vas a encontrar muchas estadísticas sobrwe el tema. También en www.gartner.com, el sitio oficial de gartner group.
Saludos, no te olvides de puntuar la respuesta
Es recomendable guardar un registro de todas las actuaciones que se van realizando en
cada máquina (para guardarte las espaldas) mediante el comando "script", para así
luego tener más fácil la tarea de "limpieza" (cuando la auditoría finaliza, hay que
limpiar de sniffers, rootkits y demás lindezas toda la red).
También tenés un buen informe en www.dvc.es/osstmm/files/osstmm_test_parameter-es.htm
Y en
http://www.zonavirus.com/Detalle_Categoria.asp?Categoria=E-Books, tenés un manual de redes y linux que tiene bastante de test de penetración.
Para la segunda parte de la pregunta (chusmerío sobre qué sitios estuvieron testeados) te cuento que no hay mucho por el tema de confidencialidad. (Y sorry, pero yo tampoco te diría mucho sobre el tema, puesto que me estoy vendiendo, si me comprendés...). Pero en revistas especializadas vas a encontrar muchas estadísticas sobrwe el tema. También en www.gartner.com, el sitio oficial de gartner group.
Saludos, no te olvides de puntuar la respuesta
