Scribd
Cargar
34 vistas2 páginas

Clase 1°

El documento detalla tres tipos de pruebas de penetración: caja negra, caja blanca y caja gris, cada una con diferentes niveles de conocimiento sobre el sistema objetivo. También se discute la diferencia entre el análisis de vulnerabilidades y las pruebas de penetración, enfatizando que las pruebas buscan evaluar la capacidad de un sistema para resistir ataques. Finalmente, se mencionan metodologías establecidas para realizar pruebas de seguridad de manera efectiva.

Cargado por

Nadie N. Nada
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como TXT, PDF, TXT o lee en línea desde Scribd
34 vistas2 páginas

Clase 1°

El documento detalla tres tipos de pruebas de penetración: caja negra, caja blanca y caja gris, cada una con diferentes niveles de conocimiento sobre el sistema objetivo. También se discute la diferencia entre el análisis de vulnerabilidades y las pruebas de penetración, enfatizando que las pruebas buscan evaluar la capacidad de un sistema para resistir ataques. Finalmente, se mencionan metodologías establecidas para realizar pruebas de seguridad de manera efectiva.

Cargado por

Nadie N. Nada
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como TXT, PDF, TXT o lee en línea desde Scribd

Las pruebas de penetracin

metodologia: dentro del campo de la vulneravilidad en red, de software y hardware,


encontramos ciertas tecnicas ya preestablesidas que se an definido atravez del el
tiempo
y la experienciaa a la hora de generar un ataque o protegerse del mismo.
las tecnicas mostradas por el autor se refieren a 3 tipos de PRUEBAS de
penetracin:

1> the blak box- la caja negra es el tipo de prueba


en donde un atacante o analista sin previo conocimiento usa los elementos
de red y mapea el servicio de red, con estos conocimientos realiza el
ataque o encuentra las fallas de red, estando apartado del objetivo.

(es una forma simple de ataque, se usaria en casos


de atacar una red, server o pagina de muy bajo perfil con
escasa o ninguna seguridad en red, blak box son los componentes
a ciegas o el ingreso a oscuras en una caja informatica o de red)

2> the white box- la caja blanca es un tipo de prueba mas profunda
y contextualmente diseado para el conocimiento completo e intimo
de los servicios de red, el Software, el hardware, mapeo de toda la
red fisca, la red virtual, energia, instalaciones, componentes etc.
Es resumen,el conocimiento nesesario para realizar un ataque teniendo
en cuenta en concreto las vulneravirilades y/o fortalezas del sistema,
enavadiendo y obteniendo puentos especificos; aveces el atacante o analista
a obtenido acseso al sistema de red e investigado previamente todos los datos .

este tipo de prueba usada para encontrar


vulneravilidades de sistema y red, ya sea para atacar, o preparar
el mismo sistema, es muy elavorada; usualmente se usaria para comprender
sistemas de red de mayor categoria, paginas y servers de alto trafico
y/o alta importancia; pienso que es la forma correcta de llevar acabo
un ataque o analisis de sistema, pues te permite tomar consiencia o una
vision limpia y despejada sobre la caja o este elemento de red
multidimencional y redirecionar todo tu arsenal informatico
unica y exclusibamente para el mejoramiento o destruccion del objetivo)

3>the grey box - la caja gris, es un elemento fisico o virtual internado


en un programa instalado en el server, organisacin o instalacion;
este permite ingresar al sistema de manera directa e inclusive, podria
ser administrador del mismo, siendo una persona natural, dispuesta a
corromper o analisar el sistema; o un hardware que sabotea, altera, corrompe
la maquina o genera una prueba de efuerzo en busca de deficiencias fisicas,
o tal ves un software que ejecura un archivo malicioso, un exploit,
zombie o mapeo que sabotea el sistema, o su contra parte, un scaner de fallas
para el scrip del sistema; todos estos tiene que ser guiado por un ser fisico
que estando dentro de la misma organizacion o instalacion o programa de maquina,
sea guiado hasta el objetivo y cumpla su propocito.

(aqui hablamos de alguien o algo que se infiltra o esta estrechamente ligado


al sistema social, economico, laboral, mueble e inmueble y tiene alguna
relacion que lo involucra directamente con el objetivo, no esta a ciegas,
pero tampoco lo conoce todo sorbre este objetivo multidimencional, asi pues,
este emplea una extencin para realizar su acto de ataque o proteccion.)

--Evaluacin de vilnerabilidades y pruba de penetracion.

lo que se trata de exponer aqui es la diferencia sustancial ente el analisis


de las vulneravilidades y realuzar una prueva de penetracion. Analizar las
vulneabilidades permite inferir y estudiar las fallas del sistema fisico y
virtual, interior y exterior del objetivo, esto no es mas que encontrar
los agujeros y poros de filtracion; ahora, esto es muy diferente a una
prueba de penetracion.
Una prueba de penetracion es comprovar la capacidad que tiene un sistema de
seguridad y/o la complejidad que existe entrar en el o corromperlo, por lo
consiguiente, se trata de plasmar que en a prueba de penetracion busca
entender cual es la gravedad que una ataque de intrucion puede llegar a cometer
en el objetivo.

Esto es analizar, las fllas existentes con las pruebas Blak, white o grey,
puedan encontrar una vulnerabilidad, y si la hay, como estos pueden llegar a
infiltrarce y cumplir su objetivo.

-- Metodos para pruebas de seguridad

existen metodos ya preestablsidos por la comunidad tecnica forjados atravez


de la experiencia que pueden ser utiles a la hora de comprobar la seguridad
de un sistema, la magia segun el autor es llebar a cabo con plena precision
paso por paso las prubas, minuciosamente explorar con las normativas, cada
control, intento, contexto, y situacion especifica en el proceso ejecutado
para asi obtener con seguridad, la estructura del sistema y conocerlo a la
perfeccion.

links
Open Source Security Testing Methodology Manual (OSSTMM)
http://www.isecom.org/research/
The Penetration Testing Execution Standard (PTES)
http://www.pentest-standard.org/
Penetration Testing Framework
http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html
OWASP Testing Guide
https://www.owasp.org/index.php/Category:OWASP_Testing_Project
Technical Guide to Information Security Testing and Assessment (SP 800-115)
http://csrc.nist.gov/publications/PubsSPs.html
Information Systems Security Assessment Framework (ISSAF) [No disponible]
http://www.oissg.org/issaf

También podría gustarte