170 likes | 417 Views
Vulnerability Assessment & Penetration Testing: Ethical Hacking. 1. Miguel de la Borda Security Architect mborda@novelix.com.pe. Estado Actual de la Seguridad. Agenda. Metodología Empleada Vulnerabilidades Frecuentes Mecanismos de Prevención-Detección Q&A. CIA.
E N D
Vulnerability Assessment & Penetration Testing: Ethical Hacking 1 Miguel de la Borda Security Architect mborda@novelix.com.pe
Agenda • Metodología Empleada • Vulnerabilidades Frecuentes • Mecanismos de Prevención-Detección • Q&A
CIA Describe el balance entre Seguridad & funcionalidad del Usuario Confidencialidad Integridad Availability (Disponibilidad)
Amenazas, vulnerabilidades & riesgos Amenaza Cualquier daño potencial a los sistemas de información Debilidades que pueden proveer de acceso no autorizado a los recursos exploits da origen a Agente de Amenaza Vulnerabilidad Actúa en las Amenazas conduce a afecta directamente Actúa en las Amenazas Riesgo Protección puede dañar que genera la aplicación de medidas de Probabilidad que un Agente de Amenaza explote una vulnerabilidad Instancia en que es expuesto a perdidas debido al Agente de Amenaza y causar un Activo Exposure
¿Cómo se “mapea” el Análisis de Vulnerabilidad y Evaluación de Penetración al ISO 17799 ? • Sistemas y metodologías para el control de acceso • Seguridad de las telecomunicaciones y redes • Prácticas de administración de seguridad • Seguridad en el desarrollo de aplicaciones y sistemas • Criptografía • Arquitectura y modelos de seguridad • Seguridad de las operaciones • Planeamiento de continuídad de los negocios • Leyes, investigación y ética • Seguridad física
Consultoría basada en standards • Common Criteria for Information Technology Security Evaluation • Common Methodology for Information Technology Security Evaluation Supplement: Vulnerability Analysis and Penetration Testing
Comproba-ción de Vulnerabi-lidades Obtención de Acceso Escalamiento de Privilegios Obtención de Información y Footprinting Enumeración Scanning Metodología
Metodología • Obtener Información y Footprinting • Delimitar el scope de la evaluación y obtener información relevante respecto al cliente • Técnicas computacionales e Ingeniería Social • Scanning • Evaluación de los “objetivos” • Indentificación de servicios • Enumeración • Más intrusivo • Obtención de usuarios o servicios accesables en los “objetivos”
Metodología • Penetración • Acceso a los “objetivos” • Escalamiento de Privilegios • Obtener el control completo de los “objetivos” • Comprobación de Servicios/Aplicaciones vulnerables • Comprobación fehaciente de vulnerabilidad • Uso de exploits, odays, backdoors, password cracking, etc. • Determinación de cómo afecta a CIA • Reportes • Indicando hallazgos y recomendaciones
“Objetivos” Incluidos • Sistemas • Sistemas Operativos, firewalls, detectores-preventores de intrusos, protectores de web, nodos centrales de VPN, sistemas de acceso remoto • Equipos de Red • Routers, switches, appliance de seguridad perimetral • Software (Aplicaciones) • Motores de bases de datos, servidores de aplicaciones, servidores tipo Internet (web, ftp, mail, etc.) Desde Adentro, Afuera o Afuera y Adentro
Vulnerabilidades Frecuentes IDPS DMZ 0.Ausencia de SPPPG. 1.Configuración no decuada de router. 2.RAS no asegurado ni monitoreado. 3.Fuga de información. 4.Servicios innecesarios. 5.Passwords débiles. 6.Cuentas con demasiado privilegio. 7.Servicios Internet mal configurados. 8.Firewall mal configurado. 9.Ausencia de parches o configuración default. 10.Derechos excesivos sobre recursos. 11.Excesivas relaciones de confianza. 12.Servicios no autenticados/autorizados. 13.Ausencia de IDPS(NIPDS,NNIPDS,HIDPS). VLAN1 Router Interno Red Interna Router Internet Firewall RAS VLAN2 Cliente Remoto Oficina Remota
Mecanismos de Prevención-Detección • Realizar un Análisis de Vulnerabilidad y Prueba de Penetración • Definir los Standards, Políticas, Procedimientos, Procesos y Guías basados en prioridades
Mecanismos de Prevención-Detección • Aplicar a los mecanismos básicos de seguridad • Hardening de servidores y equipos de red • Aplicación de controles de seguridad interna elementales • Identity Management • Single Signon • Control de desktops y servidores • Aplicación de controles de seguridad perimetral elementales • Firewall (filtrado de paquetes, proxy de aplicaciones, filtrado de contenido, gateway de circuíto) • Detectores-Preventores de Intrusos a nivel de red, nodo y host • Hardening de servicios de acceso remoto (routers, RAS, VPN Servers) • Establecer un control periódico
DEFCON • No hay víctimas, • SÓLO VOLUNTARIOS
Q&A ?