Bienvenido a Tecnohackers

Tecnohackers » Hacking y Seguridad » Seguridad Informatica
 » 

¿Cómo Realizar Un Penetration Test? - Fabian Portantier


Páginas: [1]   Ir Abajo

Autor Tema: ¿Cómo Realizar Un Penetration Test? - Fabian Portantier  (Leído 814 veces)

Desconectado zolo

  • Consigliere
  • Master
  • *****
  • Mensajes: 22446
  • Un Mes, Un Año o Toda Una Vida, Da Igual, Estare
¿Cómo Realizar Un Penetration Test? - Fabian Portantier
« en: Julio 23, 2011, 05:41:35 pm »
Como todos los trabajos, ser un profesional de la seguridad informática tiene sus partes divertidas y sus partes aburridas y uno de las temas más
entretenidos es el de realizar pruebas de intrusión, o Penetration Tests que consisten, básicamente, en hacer lo que haría una persona que quisiera atacar los sistemas de la organización para la cual hacemos el trabajo.

Lo más importante: este tipo de trabajos debe realizarse sólo bajo el consentimiento escrito de los propietarios de los sistemas sobre los cuales
vamos a realizar las pruebas. Esto es importante tanto para el ‘atacante’ como para el ‘atacado’.

Tenemos que definir exactamente qué sistemas vamos a atacar y con qué propósitos (si buscamos destruir, robar, modificar). Definir las horas en las cuales vamos a realizar los ataques y hasta dónde vamos a llegar. Es decir, si vamos a buscar vulnerabilidades que podrían ser explotadas, o si directamente vamos a explotarlas para verificar si realmente eran vulnerabilidades.

Todas estas cosas deben ser aclaradas de antemano, con el fin de que nuestro cliente no se lleve una sorpresa desagradable al ver daños inesperados en su infraestructura tecnológica y que nosotros no nos llevemos la desagradable sorpresa de un cliente molesto y varias demandas en nuestra contra.

Más adentrados en la parte técnica, veremos que hay dos formas de clasificar a un Penetration Test:

- Si es externo o interno. Básicamente indica dónde vamos a estar ‘parados’ a realizar las pruebas. Dentro de la red interna, o fuera de la red (generalmente, a través de internet).

- Si contamos con información de los sistemas que vamos a atacar. De ser así, se los denomina White-Box. De no contar con información acerca de los sistemas, estamos ante un Black-Box. Entre las White y las Black existen algunos intermedios, pero no son tan comunes.

Una vez definido esto, empezaremos a realizar las pruebas sobre los sistemas en cuestión. Para el caso de estos ejemplos, vamos a hablar de un penetration test del tipo Black-Box Externo (atacando desde internet, y sólo conociendo el nombre de la empresa que queremos atacar).


You are not allowed to view links. Register or Login
En línea
You are not allowed to view links. Register or Login
Páginas: [1]   Ir Arriba
Tags: Deguridad Informatica Penetration Yest 
Tags: Deguridad Informatica Penetration Yest 

 


SMF 2.0.19 | SMF © 2016, Simple Machines
Paginas Afiliadas
Twitter - FaceBook - Daraxblog
Designed by Smf Personal