Lic.

López Lio Rodrigo

SEGURIDAD E INTEGRIDAD DE LA INFORMACION
Evaluaciones de seguridad
Proyectos de Intentos de Penetración Externos - Internos, Análisis de Vulnerabilidades

oct.-23 1
 Evaluaciones de Seguridad

 Cumplimiento  Evaluación de Controles  Puesta en Producción

de Seguridad

 Análisis de Vulnerabilidades.
 Test de Intrusión.
 Ejercicios de Red Team.

2
Definiciones

Wikipedia: “Es un ataque a un sistema informático con la intención de

encontrar las debilidades de seguridad y todo lo que podría tendría tener
acceso a ella, su funcionalidad y datos.

OSSTMM: “Prueba de seguridad con un objetivo específico que termina

cuando dicho objetivo se obtiene o se acaba el tiempo disponible”

NIST: “Prueba de seguridad donde se simulan ataques reales para

subvertir las funciones de seguridad de un aplicativo, sistema o red”

Otros:
“Metodologías y conjunto de pruebas que permite conocer el
estado de situación de las medidas de seguridad adoptadas”

3
Definiciones - Tipos

- No se recibe información previa

sobre el objetivo.

- Se recibe información parcial.

- Usuarios, Segmentos IP,
funcionamiento general de
aplicativo.

- Se recibe información previa.

- Credenciales,
documentación, código.
4
Definiciones - Conseguir todas las
vulnerabilidades.
- Atacar todas las vulnerabilidades.
- Corregir las vulnerabilidades.

¿Qué NO hace un proyecto de este tipo?

¿Qué NO hace un pentester?

- No respetar el Alcance.
- Actuar de forma No ética.
- No reportar vulnerabilidades.
- No cumplir con leyes.

5
Planificación
Alcance

Validación de
Metodología
remediaciones

Remediación de
Análisis
observaciones

Evaluación de
resultados

6
Metodología

Exploración y Análisis de Explotación de Reportes e

Descubrimiento Vulnerabilidades Vulnerabilidades Informes

7
 Etapa de recolección de información pública.

 Permite evaluar el nivel de visibilidad desde el exterior.

Exploración y  Comprender el core del objetivo.
Descubrimiento  Delimitar las áreas de evaluación.
 Es la búsqueda de toda información relacionada con el objetivo

Dirección Física. Identificación de sistemas activos.

Números telefónicos. Barrido de puertos.
Nombres de personas y cuentas de correo. Identificación de servicios.
Información de prensa. Identificación de Sistemas Operativos.
Proveedores

Nombres de dominio. Mapeo y delimitación.

Rangos de direcciones IP. ISP Equipos de Networking
Aplicaciones publicadas. Firewalls y VPN
Datos de contacto de dominio. Servidores Correo, DB, Web, etc.
Metadatos

8
 Etapa de análisis de los datos encontrados para la detección y
determinación de vulnerabilidades.
Análisis de  Análisis funcionales para la detección de debilidades en los
vulnerabilidades procesos.
 Vulnerabilidad técnica y vulnerabilidad funcional
 Automático / Manual

Elaborar un plan de pruebas. Enumeración de usuarios.

Buscar en bases de conocimiento las Datos de configuración.
vulnerabilidades asociadas. Instalaciones Demo, defecto.
Evaluación del nivel de seguridad y Esquemas de autenticación y control de
vulnerabilidades acceso.

Web
Documentación.
Configuración.
Análisis Técnico.
Manejo de Datos y errores.
Concurrencia, Navegación.
9
 Análisis de Vulnerabilidades y Exposiciones Comunes (CVE)
vulnerabilidades

10
CVSS Metrics and Equations | cve.org nvd.nist.gov first.org
 Análisis de
vulnerabilidades

ID Nombre Apellido TC Orden Total

01034 Eduardo Gómez 5484117292627755 OP568976 15045,26

01078 Santiago Pérez 4485114017718680 OP568955 64000,00

01053 Ernesto López 6011748919747095 OP568963 15045,26

01018 Maximiliano González 2720854088867234 OP568974 7620,00

11
 Análisis de VULNERABILIDAD ACTIVO AMENAZA
vulnerabilidades
SQL injection Datos de clientes Robo de información

ID Nombre Apellido TC Orden Total

01034 Eduardo Gómez 5484117292627755 OP568976 15045,26

01078 Santiago Pérez 4485114017718680 OP568955 64000,00

01053 Ernesto López 6011748919747095 OP568963 15045,26

01018 Maximiliano González 2720854088867234 OP568974 7620,00

12
 Etapa de explotación de las vulnerabilidades encontradas.

 Explotación controlada.
Explotación de  Consolidación en los sistemas.
vulnerabilidades  Denegación de Servicio / Ejecución de código arbitrario.

Elaborar un plan de pruebas. Ataques del lado del servidor.

¿Coordinado? Ataques del lado del cliente.

Consolidación
Elevar privilegios.
Detección.

13
 Etapa de consolidación de información y elaboración de los documentos
entregables.
Reportes e  Informe Ejecutivo.
Informes  Informe Técnico.

Claridad y Objetividad.
Bitácora - reportes.
Fortalezas – Debilidades.
Diagnóstico y Recomendaciones.

14
Aspecto Integrador:
 Unidad 1 – Conceptos básicos de seguridad informática.
 Gestión de la seguridad.
 Unidad 6 – Seguridad en servidores, servicios y redes.
 Seguridad en servicios, ataques típicos.
 Desarrollo Seguro
 Dispositivos de seguridad en redes.
 Unidad 7 – Sistemas confiables, normas y buenas prácticas, auditoria informática.

Material de lectura:
 Cryptography and Network Security – Stallings (Cap. 17 – pag. 527) (Bibliografía)
 Open Source Security Testing Methodology Manual (OSSTMM) - http://www.isecom.org
 Open Web Application Security Project (OWASP) - https://www.owasp.org
 National Institute of Standards and Technology (NIST) – SP 800-115 - https://www.nist.gov/
 Penetration Testing Execution Standard (PTES) - http://www.pentest-standard.org

15
Material:
 Open Source Security Testing Methodology Manual (OSSTMM) - http://www.isecom.org
 Open Web Application Security Project (OWASP) - https://www.owasp.org
 National Institute of Standards and Technology (NIST) – SP 800-115 - https://www.nist.gov/
 Penetration Testing Execution Standard (PTES) - http://www.pentest-standard.org

Actividades:
 Considerando que Ud. es el Responsable de Seguridad Informática de la Entidad Alfa, redacte una propuesta técnica
para solicitar un servicio de Auditoria de Seguridad.
o Alfa cuenta con:
• 1 (un) sitio web (Institucional) en alta disponibilidad sobre entorno virtualizado.
• 2 (dos) firewall (en alta disponibilidad) configurado con una DMZ para el sitio institucional y el servidor de correo. Zona
interna y segmentación de vlan por sector.
• 1 (un) servidor de correo electrónico.
• 80 empleados distribuidos 10 sectores.
• Existe un Active Directory y 3 (tres) FileServer. Cada empleado cuenta con una PC y cada sector cuenta con una
impresora.
• No cuenta con presupuesto para proveer PC/Notebook al/los pentester.

 Investigue y genere los comandos de nmap para obtener:

o Versión de SSOO
o Detectar servicios
o Como generar un archivo de salida .txt
o Fragmentar paquetes para evitar firewalls
o Comprobar los puertos de FTP, SQL, Web, DNS 16