Geekly articles weekly

El libro "Kali Linux. Pruebas de penetración y seguridad

imagen Hola habrozhiteli! La 4a edición de Kali Linux 2018: Garantía de seguridad mediante pruebas de penetración está diseñada para hackers éticos, pentesters y profesionales de seguridad de TI. Se requiere que el lector tenga conocimientos básicos de los sistemas operativos Windows y Linux. El conocimiento de la seguridad de la información será una ventaja y lo ayudará a comprender mejor el material presentado en el libro. Lo que aprenderá • Lleve a cabo las etapas iniciales de las pruebas de penetración, comprenda el alcance de su aplicación • Realice el reconocimiento y la contabilidad de los recursos en las redes de destino • Reciba y descifre las contraseñas • Use Kali Linux NetHunter para probar la penetración de las redes inalámbricas • Redacte informes de pruebas de penetración competentes • Oriente usted mismo en la estructura del estándar PCI-DSS y las herramientas utilizadas para las pruebas de escaneo y penetración

Estructura de publicación


Capítulo 1 "Instalación y configuración de Kali Linux". En este capítulo, se le presentará Kali Linux 2018. Se presta especial atención a los diversos métodos de uso del sistema. El capítulo está escrito para que incluso un usuario inexperto pueda ejecutar Kali Linux desde un DVD en vivo; instalar y configurar el sistema en un disco duro, una tarjeta SD conectada a un puerto USB de una unidad flash; Instale Kali Linux en una máquina virtual. Además, con AWS, puede instalar Kali Linux en la nube.

Capítulo 2 "Establecimiento de un laboratorio de pruebas". Este capítulo describe cómo crear un entorno virtual seguro en el que pueda implementar legalmente los ejemplos prácticos desarrollados para cada capítulo. El capítulo también proporciona instrucciones detalladas para configurar máquinas virtuales como Metasploitable 2 y Metasploitable 3, que se utilizarán como máquinas de destino en experimentos de penetración (pentests).

Capítulo 3, Metodología de prueba de penetración. Aquí se presentan varias metodologías de prueba para planificar y determinar el alcance de los pentests. También encontrará una descripción de pasos prácticos y tecnologías para pruebas de penetración.

Capítulo 4 "Recibir una huella digital y recopilar información". En la primera fase de las pruebas de penetración, se utilizan varias herramientas comunes utilizadas para la inteligencia, incluido el pirateo de la base de datos de Google. En esta publicación, encontrará información nueva sobre herramientas para recopilar información automáticamente, como Devploit, RedHawk y Shodan.

Capítulo 5, Técnicas de escaneo y evasión. Este capítulo describe cómo usar la poderosa herramienta Nmap para descubrir objetivos, nodos y servicios. Con la ayuda de Netdiscover y Striker, se realiza el escaneo automático y la recopilación de información. Además, este capítulo analiza una herramienta como Nipe, que proporciona a los usuarios privacidad y anonimato.

Capítulo 6, Análisis de vulnerabilidades. Los ejemplos prácticos aquí muestran cómo encontrar vulnerabilidades en una máquina de destino. Proporciona instrucciones paso a paso para usar herramientas automatizadas tan poderosas para evaluar vulnerabilidades como Nessus 7 y OpenVAS. Encontrará nueva información sobre la herramienta Lynis Linux para escanear y verificar vulnerabilidades, y la herramienta SPARTA, cuyo propósito es evaluar y enumerar vulnerabilidades. El trabajo de todos los instrumentos se lleva a cabo en un laboratorio de pruebas y se garantiza que las evaluaciones de tipo real se modelan con precisión.

Capítulo 7, Ingeniería social. Discute los principios y métodos básicos utilizados por los ingenieros sociales profesionales para manipular a las personas para que divulguen información o realicen otras acciones.

Capítulo 8 "Operación dirigida". En este capítulo, aplicará métodos y herramientas para el funcionamiento de sistemas informáticos (exploits). Los exploits explotan vulnerabilidades y fallas en los sistemas, lo que permite al usuario obtener acceso al sistema.

Capítulo 9, "Escalada de privilegios y mantenimiento del acceso". Aquí aprenderá cómo aumentar el acceso y hackear otras cuentas en el sistema. Las cuentas pirateadas se utilizarán para mantener el acceso al sistema y obtener más acceso a la red.

Capítulo 10, "Prueba de aplicaciones web". En este capítulo, veremos algunas herramientas básicas para probar aplicaciones web, así como aplicaciones en la nube, ya que se basan en los mismos protocolos y utilizan muchas de las mismas plataformas.

Capítulo 11, "Prueba de redes inalámbricas para penetración". Este capítulo analiza la configuración de las herramientas diseñadas para capturar los datos necesarios para entrar y acceder a redes inalámbricas, incluida la configuración de puntos de acceso falsos.

Capítulo 12, Pruebas de penetración móvil con Kali NetHunter. Este capítulo presenta un enfoque práctico para las pruebas de penetración utilizando dispositivos móviles. La instalación y configuración de las aplicaciones necesarias se describe en detalle, y también se demuestra el proceso de escaneo y evaluación de vulnerabilidades, ataques de intermediarios y ataques inalámbricos que pueden realizar las aplicaciones móviles.

Capítulo 13, "PCI DSS: escaneo y pruebas de penetración". Aquí se introduce un estándar, se describen seis tareas y 12 requisitos, y se ofrece una prueba de penetración general. El énfasis está en las versiones PCI DSS 11.3.1 y 11.3.2.

Capítulo 14, Herramientas de informes de pruebas de penetración. Se discuten varios tipos de informes y procedimientos que se realizan al final de las pruebas, y se demuestra el uso de la plataforma Dradis para organizar y documentar completamente una prueba de penetración.

Extracto Metodología de prueba de penetración


Uno de los factores más importantes que afectan el éxito de una prueba de penetración es la metodología de prueba estándar. La falta de métodos estándar para realizar una prueba de penetración significa la falta de uniformidad. Estamos seguros de que no desea ser un probador, realizar una prueba fortuita, usar una u otra herramienta y no tener una idea de los resultados que debería traer esta prueba.

Una metodología es un conjunto de reglas estándar, acciones prácticas y procedimientos que se implementan cuando se trabaja con cualquier programa diseñado para verificar la seguridad de la información. La metodología de prueba de penetración determina principalmente el plan de prueba. Este plan proporciona no solo el propósito de la prueba, sino también las acciones que deben realizarse para evaluar el verdadero estado de seguridad de la red, las aplicaciones, el sistema o cualquier combinación de los mismos.

Se requiere que el probador tenga habilidades prácticas de prueba. Debe poseer las herramientas con las que se realiza la prueba. Solo una metodología de prueba de penetración bien definida, el conocimiento teórico y las habilidades prácticas del probador permitirán una prueba de penetración completa y confiable. Pero al mismo tiempo, la metodología no debe evitar que el evaluador analice sus conjeturas.

Metodología de prueba de penetración


Para determinar qué prueba deberá hacer ahora, debe saber qué pruebas existen, en qué áreas y para qué fines se aplican. Todas las pruebas se pueden dividir en tres grupos.

  • Los métodos de la "caja blanca". En este grupo de pruebas, el probador conoce bien el sistema bajo prueba y tiene acceso completo a todos sus componentes. Los probadores trabajan con el cliente y tienen acceso a información clasificada, servidores, software en ejecución, diagramas de red y, a veces, incluso credenciales. Este tipo de prueba generalmente se lleva a cabo para probar nuevas aplicaciones antes de ponerlas en funcionamiento, así como para verificar regularmente el sistema como parte de su ciclo de vida: Ciclo de vida de desarrollo de sistemas (SDLC). Dichas actividades pueden identificar y eliminar vulnerabilidades antes de que puedan ingresar al sistema y dañarlo.
  • Los métodos de la "caja negra". Este grupo de pruebas es aplicable cuando el probador no sabe nada sobre el sistema bajo prueba. Este tipo de prueba es más similar a un ataque de atacante real. El probador debe obtener toda la información aplicando creativamente los métodos y herramientas a su disposición, pero sin ir más allá del acuerdo celebrado con el cliente. Pero este método también tiene sus inconvenientes: aunque imita un ataque real a un sistema o aplicación, un probador, usándolo solo, puede omitir algunas vulnerabilidades. Esta es una prueba muy costosa porque lleva mucho tiempo. Realizándolo, el probador estudiará todas las direcciones posibles de ataque y solo después de eso informará los resultados. Además, para no dañar el sistema bajo prueba y no causar un mal funcionamiento, el probador debe tener mucho cuidado.
  • Los métodos de la "caja gris". La prueba tiene en cuenta todas las ventajas y desventajas de las dos primeras pruebas. En este caso, solo se dispone de información limitada para el probador, lo que permite un ataque externo al sistema. Las pruebas generalmente se realizan de forma limitada cuando el probador sabe un poco sobre el sistema.

Para garantizar los mejores resultados de la prueba, independientemente de las pruebas de penetración utilizadas, el probador debe cumplir con la metodología de la prueba. A continuación, analizaremos con más detalle algunos de los métodos de prueba estándar más populares.

  • Guía de pruebas de OWASP.
  • Guía de prueba de penetración PCI.
  • Prueba de penetración estándar.
  • NIST 800-115.
  • Guía de metodología de pruebas de seguridad de código abierto (OSSTMM).

Guía de prueba de OWASP


Proyecto de seguridad de aplicaciones web abiertas (OWASP): este proyecto reúne a desarrolladores de software de código abierto. Las personas en esta comunidad crean programas para proteger aplicaciones web y servicios web. Todas las aplicaciones se crean teniendo en cuenta la experiencia de tratar con programas que dañan los servicios web y las aplicaciones web. OWASP es el punto de partida para arquitectos de sistemas, desarrolladores, proveedores, consumidores y profesionales de la seguridad, es decir, todos los profesionales que participan en el diseño, desarrollo, implementación y pruebas de seguridad de todos los servicios web y aplicaciones web. En otras palabras, OWASP se compromete a ayudar a crear aplicaciones web y servicios web más seguros. La principal ventaja de la guía de pruebas OWASP es que puede obtener una descripción completa de todas las amenazas a partir de los resultados de las pruebas presentadas. La Guía de pruebas de OWASP identifica todos los peligros que pueden afectar el funcionamiento del sistema y las aplicaciones, y evalúa la probabilidad de que ocurran. Usando las amenazas descritas en OWASP, puede determinar la evaluación general de los riesgos identificados mediante pruebas y desarrollar recomendaciones apropiadas para abordar las deficiencias.

La Guía de pruebas de OWASP se centra principalmente en los siguientes temas.

  • Métodos y herramientas para probar aplicaciones web.
  • Recolección de información.
  • Autenticación
  • Prueba de lógica de negocios.
  • Datos de prueba
  • Pruebas de ataques de denegación de servicio.
  • Verificación de la gestión de la sesión.
  • Prueba de servicios web.
  • Prueba AJAX.
  • Determinación del grado de riesgo.
  • La probabilidad de amenazas.

Guía de prueba de penetración PCI


Estas son las pautas para las empresas que cumplen con los requisitos de PCI (industria de tarjetas de pago - industria de tarjetas de pago). Además, en el manual encontrará estándares no solo para el estándar PCI v3.2. Fue creado por el PCI Security Council, que define los métodos de prueba de penetración como parte de los programas de gestión de vulnerabilidades.

El Estándar de Seguridad de Datos PCI (PCI DSS) Versión 3.2 fue lanzado en abril de 2016 por la Junta de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). Después de actualizar el estándar, se aclararon los requisitos, aparecieron instrucciones adicionales y siete nuevos requisitos.

Con el fin de eliminar los problemas relacionados con las violaciones de la confidencialidad de los datos personales de los titulares de tarjetas, así como para proteger contra las vulnerabilidades existentes, se introdujeron varios cambios en el estándar PCI DSS V. 3.2, la mayoría de los cuales están relacionados con los proveedores de servicios. Se agregaron nuevos cambios a las pruebas de penetración a estos cambios, de acuerdo con los cuales las pruebas de segmentación para los proveedores de servicios se realizaron al menos cada seis meses o después de cualquier cambio significativo en los controles / métodos de segmentación. Además, este estándar contiene varios requisitos que requieren que los proveedores de servicios monitoreen y mantengan continuamente los elementos críticos de administración de seguridad durante todo el año.

Prueba de penetración estándar


El estándar de prueba de penetración consta de siete secciones principales. Cubren todos los requisitos, condiciones y métodos para realizar pruebas de penetración: desde inteligencia hasta intentos de realizar pentests; etapas de recopilación de información y modelado de amenazas, cuando, para lograr los mejores resultados de verificación, los probadores trabajan de incógnito; etapas de investigación de vulnerabilidad, explotación y posexplotación, cuando el conocimiento práctico de los probadores de seguridad se combina con los datos obtenidos durante las pruebas de penetración; y como una etapa final: la presentación de informes, en la que toda la información se proporciona de forma comprensible para el cliente.

Hoy es la primera versión en la que todos los elementos estándar se prueban en condiciones reales y se aprueban. La segunda versión está en desarrollo. En él, todos los requisitos serán detallados, refinados y mejorados. Dado que el plan para cada prueba de penetración se desarrolla individualmente, puede usar diferentes pruebas: desde probar aplicaciones web hasta realizar pruebas destinadas a pruebas por el método de "caja negra". Con este plan, puede determinar de inmediato el nivel de complejidad esperado de un estudio en particular y aplicarlo en los volúmenes y áreas requeridos por la organización, de acuerdo con la organización. Los resultados preliminares de la investigación se pueden ver en la sección responsable de la recopilación de inteligencia.

A continuación, como base para realizar pruebas de penetración, se enumeran las secciones principales de la norma bajo consideración.

  • Acuerdo preliminar para la interacción.
  • Recolección de inteligencia.
  • Modelado de amenazas.
  • Análisis de vulnerabilidad.
  • Operación
  • Post explotación.
  • Redacción de informes.

NIST 800-115


Una publicación especial de la Publicación especial del Instituto Nacional de Estándares y Tecnología, NIST SP 800-115, es una guía técnica para probar y evaluar la seguridad de la información. La publicación fue preparada por el Laboratorio de Tecnología de la Información (ITL) en el NIST.

En el manual, la evaluación de seguridad se interpreta como el proceso de determinar qué tan efectivamente la organización que se evalúa cumple con los requisitos de seguridad específicos. Cuando vea el manual, verá que contiene una gran cantidad de información para las pruebas. Aunque el documento rara vez se actualiza, no está desactualizado y puede servir como referencia para construir una metodología de prueba.

Este manual proporciona orientación práctica sobre el desarrollo, implementación y mantenimiento de información técnica, pruebas de seguridad y procesos y procedimientos de examen, cubriendo un elemento clave o pruebas técnicas de seguridad y examen. Estas recomendaciones pueden usarse para varias tareas prácticas. Por ejemplo, buscar vulnerabilidades en un sistema o red y verificar el cumplimiento de una política u otros requisitos.

NIST 800-115 proporciona un gran plan de prueba de penetración. Se asegura de que el programa de prueba de penetración sea el recomendado.

Guía de metodología de pruebas de seguridad de código abierto
OSSTMM es un documento que es bastante difícil de leer y comprender. Pero contiene una gran cantidad de información de seguridad relevante y muy detallada. También es la guía de seguridad más conocida del planeta con aproximadamente medio millón de descargas por mes. La razón de esta popularidad es esta: estas instrucciones están aproximadamente una década por delante de todos los demás documentos en la industria de la seguridad. El objetivo de OSSTMM es desarrollar estándares de verificación de seguridad de Internet. Este documento está destinado a formar el plan básico más detallado para las pruebas, que, a su vez, proporcionará una prueba de penetración completa y exhaustiva. Independientemente de otras características organizativas, como el perfil corporativo de un proveedor de servicios de pruebas de penetración, esta prueba permitirá al cliente verificar el nivel de evaluación técnica.

Marco: prueba de penetración general


A pesar de que los estándares difieren en la cantidad de condiciones, las pruebas de penetración se pueden dividir en las siguientes etapas.

1. Inteligencia.

2. Escaneo y listado.

3. Obteniendo acceso.

4. Escalada de privilegios.

5. Mantener el acceso.

6. Barridos de pistas.

7. Informes.

Consideremos cada etapa con más detalle.

Inteligencia


Este es el primer y muy importante paso en una prueba de penetración. Puede llevar mucho tiempo. Muchos probadores dividen esta etapa en dos partes: inteligencia activa y pasiva. Prefiero combinar estas dos etapas, ya que los resultados hablarán por sí mismos.

La inteligencia (reconocimiento) es un enfoque sistemático cuando intenta ubicar y recopilar tanta información como sea posible sobre el sistema o máquina objetivo. Esto también se llama colección de rastreo.

Los siguientes métodos se pueden utilizar para llevar a cabo este proceso (de hecho, la lista de métodos puede ser mucho más amplia).

  • Ingeniería social (este es un método emocionante).
  • Investigación en Internet (utilizando los motores de búsqueda Google, Bing, LinkedIn, etc.).
  • Viajando a través de botes de basura (puede ensuciarse las manos).
  • Llamadas frías.

Puede elegir cualquiera de los métodos enumerados para obtener información sobre el sistema o máquina de destino. Pero, ¿qué necesitamos saber en esta etapa?

, , . . , , , .

.

  • .
  • ( ).
  • ( , ).
  • , ( ).
  • , , Windows Linux.
  • .
  • ( ).

( ). , . , . .

. , , , , .

. : , , .

, .

»Se puede encontrar más información sobre el libro en el sitio web del editor
» Contenidos
» Extracto

25% — Kali Linux
Tras el pago de la versión en papel del libro, se envía un libro electrónico por correo electrónico.

Source: https://habr.com/ru/post/465123/

More articles:


All Articles