Fases del pentesting

Para un pentester, su objetivo es la intrusión, es decir, acceder a un sistema sea como sea, para ello lo más importante es seguir una metodología.

Cuando se hace una intrusión, no se puede ser lanzar una batería de pruebas de forma indiscriminada sobre un objetivo, ya que alertaría a quién se encarga de administrar o defender dicho sistema, y aparte la cantidad de pruebas a realizar sería tan grande que no convendría optar por esta opción. Bien, aquí habría que explicar que las metodologías no son más que un esquema de cómo realizar las pruebas para que sean de forma ordenada, por lo que esto suele estar un poco a criterio del pentester. A continuación nombraré a modo de introducción unas cuantas de estas metodologías:

Kill-Chain

Una metodología de origen militar (esto da a entender que para el pentester suele haber problemas) que muestra unas etapas donde solo se describen las mismas, luego las aplicaciones están a criterio del pentester.

fases de pentesting

Más información en:

https://en.wikipedia.org/wiki/Kill_chain

https://www.certsi.es/blog/cyber-kill-chain-sistemas-control-industrial

http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf

OSSTMM

Esta metodología puede ser la más extendida (es de las más conocidas y completa) pero al final, como todo, poco usada. Esta se basa en diferentes escenarios y cómo se debe de actuar ante cada uno. Aunque le da bastante importancia a la preparación, porque no solo dice como hay que actuar, sino lo que hay que saber.

OSSTMM Logo

Más información en:

http://www.isecom.org/research/osstmm.html

Guía de pruebas de OWASP

OWASP es una organización que está enfocada a la seguridad Web y se trabaja de forma voluntaria. Pero han desarrollado una guía para realizar pruebas a aplicaciones Web, esta es referencia en las auditorías Web.

OWASP Logo

Más información en:

https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf

ISSAF

Es una metodología con reputación pero no demasiado extendida. Esta guía también se divide por escenarios que además incluyen tipo de servicios (si es MySQL, Oracle, etc…) Esto provoca que no esté completa por la cantidad de servicios que existen.

Más información en:

http://www.oissg.org/wiki/index.php?title=ISAAF-PENETRATION_TESTING_FRAMEWORK

http://insecuredata.blogspot.com/2009/04/metodologia-de-test-de-intrusion-issaf.html

http://cuchillac.net/archivos/pre_seguridad_pymes/2_hakeo_etico/lects/metodologia_oissg.pdf

Penetration Testing Framework de Vulnerability Assessment

Esta metodología, con bastante actividad, desglosa por fases los pentesting incluyendo las herramientas. Intenta reproducir tipos de escenarios, aunque existen fases preparatorias que no se incluyen. Básicamente se trata de explicar que es un escenario/servicio, cómo puede ser un dominio o una VPN, con que herramientas actuar, herramientas específicas para dominios o herramientas específicas para VPNs.

http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html

Conclusión

Para resumir un poco, hay muchas más metodologías, pero todas las auditorías se basan en diferentes pasos, cada una de estas metodologías da prioridad o muestra las cosas de forma diferente, ya que normalmente suele ser a criterio del pentester las herramientas a usar y no se desglosan en algunas metodologías, en otras sí, incluso hay metodologías que describen como enfrentarse a diferentes escenarios como puede ser OSSTMM. No obstante los pasos principales son:

  • Preparación

Puede ser preparar todo el software y las formas de realizar las conexiones, como puede ser configurar una VPN para hacer ataques de forma anónima. (Preparar la Kali a través de TOR)

  • Recopilación de información(pasiva/activa)

En esta fase se recopila la información que indique los dominios/IP pertenecientes a la “víctima” con puertos y servicios instalados. (Dominios, IP, puertos, servicios)

  • Análisis de vulnerabilidades

Una vez que se conozcan los servicios levantados, se deben de analizar las vulnerabilidades pertenecientes a estos servicios. (Identificar un CVE o un SQLi)

  • Explotación de vulnerabilidades

Una vez que tenemos las vulnerabilidades identificadas, optar por la su explotación. Debemos averiguar cual puede ser más óptima. (Ejecución de los Payloads)

  • Post-Explotación

En esta fase ya se tiene cierto control de la máquina, por lo que se pueden realizar movimientos laterales o pivoting (saltar de la máquina a otra de la misma red que desde el exterior no se tenía acceso), establecer un canal para conectarse, como un túnel, o también el borrado de huellas para no dejar rastro.

Los concepos principales:

Pentesting: o test de penetración es una prueba simulando un ataque real, pero este tiene que estar controlado y con permiso de la “víctima”.

Intrusión: En nuestro escenario es el control de un sistema para la obtención de un objetivo, este no suele ser el caso de los DoS o DDoS.

1 comentario

Trackbacks y pingbacks

  1. […] Si recordáis en un artículo anterior, hablamos sobre las fases del pentesting: […]

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *