Metodologa de pruebas de penetracin La penetracin ISSAF metodologa, est diseado para evaluar los controles de red, sistemas y aplicaciones.

Consiste en tres fases de Metodologa de pruebas de penetracin Planificacin y preparacin Evaluacin Informar, hacer limpieza y destruir artefactos

Planificacin y preparacin Intercambio de informacin inicial, planificar y prepararse para la prueba, antes de la prueba de evaluacin formal de un acuerdo ser firmado por ambas partes. Se proporciona una base para este trabajo y proteccin judicial tambin se especificar el equipo de trabajo especfico, las fechas exactas, los tiempos de la prueba, va de escalamiento y otros acuerdos. Identificacin de las personas del contacto de ambos lados, Apertura de reunin para confirmar el alcance, el enfoque y la metodologa, y estar de acuerdo en los casos de prueba especficos y rutas de escalado

Evaluacin Esta es la fase en la que en realidad llevar a cabo el ensayo de penetracin. En la fase de evaluacin de un enfoque por capas se aplicar.

Cada cscara representa un mayor nivel de acceso a sus activos de informacin: Recopilacin de informacin Mapeo de redes Identificacin de la vulnerabilidad Penetracin Obtener acceso y la escalada de privilegios Enumerar ms Compromiso de los usuarios remotos / sitios Mantenimiento del acceso Cubriendo pistas

Recopilacin de informacin La recopilacin de informacin es esencialmente el uso de internet para encontrar toda la informacin posible sobre el objetivo (empresas y / o persona) con las dos tcnicas (dns / whois) y no tcnicas (motores de bsqueda, grupos de usuarios, listas de correo, etc) los mtodos. Al realizar cualquier tipo de prueba en un sistema de informacin, recopilacin de informacin y minera de datos es esencial, y le proporciona toda la informacin posible para continuar con el examen. La recoleccin de informacin no requiere que el evaluador establece contacto con el sistema de destino. La informacin se recoge (principalmente) a partir de fuentes pblicas en internet y de las organizaciones que mantienen la informacin pblica (por ejemplo, agencias de impuestos, bibliotecas, etc) En esta seccin de la evaluacin es muy importante para el evaluador. Las evaluaciones son generalmente limitadas en tiempo y recursos. Por lo tanto, es fundamental para identificar los puntos vulnerables que sern ms probables, y centrarse en ellos. El objetivo de la fase de recopilacin de informacin est explorando todas las vas posibles de ataque, sino que da una visin completa del objetivo y sus prcticas, lo que le permite poner a prueba todos los vectores relacionados con su seguridad de la informacin. (Por ejemplo, qu sistema de telefona que utilizan, lo que los sistemas operativos que tienen en el lugar, el nmero de empleados que tienen, datos financieros, historial de seguridad, y as sucesivamente). Este paso le permite ser tan completa como sea posible durante todas las dems fases de la metodologa. La recopilacin de informacin le permite probar todos los vectores de entrada y le permite trazar una topologa virtual de una persona y / o su empresa, los activos y asociados. Despus de seguir los pasos mencionados, el evaluador puede ser capaz de ganar la penetracin en la red de destino:

Los empleados (nombre y nmero de empleados, el papel, las posiciones y datos de contacto,) Socios tecnolgicos (tecnologas empleadas, la localizacin, plataformas de computacin) Los socios del negocio (la participacin, la ubicacin, su relacin de confianza, y as sucesivamente) Negocios / historia de las finanzas, las inversiones, y los detalles de los inversores Presencia en la web (nombre y nmero de dominios, donde se alojan, etc) Ubicaciones fsicas (oficinas, centros de datos, los socios, almacenes) La topologa de red y la arquitectura Tecnologas que estn siendo implementados en la red E-mail, nmeros de telfono, o cualquier otra informacin personal Ubicacin de la empresa, nombres de productos y nombres de los altos directivos de la empresa Bloque de direcciones IP de propiedad Administracin y mantenimiento de contacto de dominio de destino y el bloque de direcciones IP

La recopilacin de informacin se puede dividir en dos partes. La recopilacin de informacin pasiva activa Recopilacin de informacin pasiva se refiere a ese objetivo no es probado en absoluto. 'Metodologa' Localizar la presencia web de destino Examine el objetivo de utilizar los motores de bsqueda Grupos de bsqueda en la Web Los sitios de bsqueda Web personal de los empleados Bsqueda de Seguridad y Comisin de Bolsa y los sitios de las finanzas Buscar mxima de sitios Sistema de bsqueda / red sitios de la encuesta Buscar en las redes P2P Bsqueda en Internet Relay Chat (IRC) Bases de datos de bsqueda de empleo Buscar grupos de noticias (NNTP) Obtener informacin de registro de dominios Comprobacin de la existencia de bsqueda inversa DNS Consulte ms informacin DNS Consulte la base de datos de bsqueda de correo no deseado Consulte a cambiar la informacin de WHOIS

Recopilacin de informacin activa El examen de las organizaciones que utilizan fuentes de acceso pblico es legal en muchos pases, pero la recopilacin de informacin activa, no puede ser. Mapeo de redes (exploracin, deteccin de so y recuento) Informacin de la red especfica de la seccin anterior se toma y se ampli para producir una topologa de red probable para el destino. Muchas herramientas y aplicaciones se pueden utilizar en esta etapa para ayudar al descubrimiento de informacin tcnica sobre los anfitriones y redes que participan en la prueba. encontrar anfitriones viven Puerto y servicio de exploracin Permetro de la cartografa de la red (router, firewall) Identificacin de los servicios crticos sistema operativo toma de huellas dactilares rutas identificacin con administracin informacin base (mib) servicio de toma de huellas dactilares

Para ser eficaz, la cartografa de la red se debe realizar de acuerdo con un plan el cual incluir probables puntos dbiles y / o puntos que son ms importantes para la organizacin evaluada, y tendr en cuenta toda la informacin obtenida. La asignacin de red ayudar a que el asesor para afinar la informacin previamente adquirida y para confirmar o descartar algunas hiptesis sobre los sistemas de destino (por ejemplo, efectos, software / hardware de las marcas, la configuracin, la arquitectura, la relacin con otros recursos y su relacin con procesos de negocio). Objetivo / Objetivo Durante la etapa inicial, el objetivo era ganar conocimiento e informacin general acerca de la organizacin en cuestin, esta seccin se centra en los aspectos tcnicos. Durante el mapeo de la red y la enumeracin que estn tratando de identificar todas las mquinas en vivo, los sistemas operativos que se utilicen, firewalls, sistemas de deteccin de intrusos, servidores / servicios, dispositivos perimetrales, enrutamiento y topologa de la red en general (disposicin fsica de la red), que forman parte de la organizacin de destino. Esto nos permite pasar a la siguiente fase e identificar las vulnerabilidades reales. En esta seccin se pretende saber lo que contiene la red (hosts / servers / routers y otros dispositivos) y cmo funciona (con lo que los protocolos / sistemas operativos). Usted debe mirar para obtener cada pieza de informacin que puede incluso direcciones de correo electrnico, nombres NetBIOS, las exportaciones NFS, nombres de host, la informacin de WHOIS, externamente servicios accesibles, etc Este es por lejos la etapa ms importante en el proceso de pruebas de penetracin. No contar con un "buen" mapa de la red puede dar lugar a falsos positivos en el aspecto de las vulnerabilidades.

Identificacin de la vulnerabilidad Antes de comenzar esta seccin, el asesor ha seleccionado los puntos especficos de la prueba y cmo probarlos. Durante la identificacin de la vulnerabilidad, el auditor tendr que realizar varias actividades para detectar explotar los puntos dbiles. Estas actividades incluyen: Identificar los servicios vulnerables mediante banners de servicios Realizar anlisis de vulnerabilidades para buscar vulnerabilidades. Informacin sabe acerca de las vulnerabilidades conocidas se pueden obtener a partir de anuncios de seguridad de los vendedores, o de bases de datos pblicas, como security focus, cve o los avisos del cert. Realizar la verificacin falsos positivos y falsos negativos (por ejemplo, las vulnerabilidades de la correlacin entre s y con la informacin previamente adquirida) Enumerar las vulnerabilidades descubiertas Estimacin del impacto probable (clasificar las vulnerabilidades encontradas) Identificar las rutas de ataque y escenarios para la explotacin

Esta seccin proporciona informacin sobre la identificacin de vulnerabilidad mediante la evaluacin de ellos y los tipos de herramientas utilizadas. Que proporciona la familiaridad con el personal de TI que participan en el equipo de evaluacin de la vulnerabilidad y tambin proporciona directrices para el equipo de evaluacin. Identificacin de la vulnerabilidad se mueve en una etapa de tomar los datos enumerados, la topologa de red y recogida de informacin para encontrar fallos en la red, servidores, servicios y otros recursos de informacin que se adjunta. A partir de la asignacin de red y la enumeracin de que usted est buscando en factores tales como la precisin con la que puede identificar los servicios y sistemas operativos. Con esta informacin (los puertos abiertos, etc) que ser capaz de construir un catlogo de servidores vulnerables / hosts. En esta seccin de herramientas como los escneres de vulnerabilidad, escneres CGI y otras herramientas se puede utilizar (Nessus / SSI / Whisker / Nikto) para poner de relieve las vulnerabilidades y adaptarlas a ataques conocidos. Informacin anterior debe permitir que el asesor de ajuste fino herramientas de escaneo de vulnerabilidades a fin de evitar los falsos positivos y centrarse en las cuestiones relevantes, en lugar de seguir ciegamente escanear una amplia gama de servidores de red con todos los patrones de prueba disponibles. Vulnerabilidad amplia para trabajar sin puesta a punto se considera una mala prctica, ya que aumenta considerablemente el nmero de falsos positivos y falsos negativos, y reduce la calidad de la evaluacin.

'Objetivo / Objetivo " El objetivo de esta etapa es el uso de la informacin obtenida antes de realizar una evaluacin tcnica de la existencia real de las vulnerabilidades. Esto se realiza haciendo coincidir las versiones vulnerables de servicios de vulnerabilidades conocidas y tericas, que recorren la red en direcciones no deseadas, las pruebas de servicios web en busca de vulnerabilidades como XSS y de inyeccin de SQL, la localizacin de contraseas dbiles y cuenta, escalada de privilegios y as sucesivamente segn se detalla en el principal cuerpo del documento. Durante la etapa de identificacin de las vulnerabilidades tiene la intencin de identificar el mayor nmero positivo de intrusin / penetracin de vas en la red objetivo como sea posible. Si es necesario, estos se pueden demostrar en la siguiente seccin, la prueba de concepto. "Proceso" Paso 1: Identificacin de los servicios vulnerables de las vulnerabilidades conocidas, el uso de banderas de servicios, OS / servicio de huellas digitales, puertos abiertos y toda la informacin pertinente de las etapas previas. Informacin del rtulo se puede obtener mediante la ejecucin de un capturador de bandera automatizado, herramienta personalizada o informacin obtenida de los pasos anteriores. Paso 2: Realizar un anlisis de vulnerabilidad de escneres automticos de vulnerabilidades conocidas Realizar todos los protocolos TCP (incluyendo SYN y mtodos CONECTAR scan), UDP y ICMP scan de alimentacin todos los resultados (1-65535, TCP + UDP) de la herramienta de escaneo de puertos se reunieron en el escaneo de puertos paso en la herramienta de evaluacin de la vulnerabilidad. Elimina la marca de denegacin de servicio plug-ins. Comprobar manualmente si hay denegacin de servicio plug-in seleccionado en cualquier categora. Paso 3: Identificar las vulnerabilidades de la ONU divulgado [Opcional] Identificar sin conocer las vulnerabilidades que se encuentran en tierra auditora del cdigo fuente y / o binarios del programa para identificar las vulnerabilidades que no estn disponibles en bases de datos pblicas vulnerabilidad. Paso 4: Haga una lista de todas las vulnerabilidades encontradas Aqu hacer una lista de todas las vulnerabilidades encontradas por los lectores. Algunos positivos falsos conocidos de los escneres especficos se puede evitar de esta lista. Paso 5: Realizar la verificacin falsos positivos y falsos negativos Consulte el anexo correspondiente para ms detalles. Paso 6: Haga una lista final de las vulnerabilidades y recomendar medidas inmediatas En esta etapa revisin todas las vulnerabilidades descubiertas por la herramienta de evaluacin [s]. Interpreta los resultados y hacer una lista final de las vulnerabilidades basadas en la gravedad de la vulnerabilidad y la criticidad de los activos. Discutir las

vulnerabilidades identificadas con el personal de TI, como por necesidad ya que estn mejor acerca de la necesidad de los servicios implementados en los sistemas. Identificar las vulnerabilidades que requieren medidas inmediatas y de inmediato informar a la direccin con contramedidas para protegerlos. Preparar un resumen de vulnerabilidad como por dominio / componentes en funcin de la gravedad del riesgo, basada en el impacto de procesos de negocio. Tenga en cuenta que esta clasificacin puede diferir significativamente de la clasificacin de riesgo tcnico. Clasificacin de riesgo de las vulnerabilidades tcnicas generalmente se realiza automticamente por las herramientas de escaneo de vulnerabilidades con relativa precisin (siempre que exista una baja de falsos positivos / negativos tasas), sin embargo, un anlisis basado en impacto en el negocio es ms til para la organizacin de destino, se le dar valor agregado a el proyecto y se har ms fcil para programar proyectos para aplicar las correcciones, as como justificar su presupuesto. En otras palabras, slo tiene que ejecutar las herramientas y la entrega de los informes generados por ellas (slo con la evaluacin tcnica) es una mala prctica y da poco valor a la organizacin evaluada (es decir, la organizacin de destino se pregunta si no es ms barato comprar / descargar y ejecutar las herramientas de s mismos, y obtener los mismos beneficios). Desde el impacto en el negocio requiere un profundo conocimiento de la organizacin de destino y de sus procesos, el evaluador debe primero entregar un primer borrador sobre la base de la experiencia previa. Sin embargo, este documento debe ser revisado junto con el personal de la organizacin evaluada para identificar correctamente el impacto en el negocio y los correspondientes ajustes se deben hacer. Junto con este informe, el auditor tendr que entregar un informe tcnico que se contienen en su mayora los resultados reportados por las herramientas, pero que se extiende la documentacin y explicar el impacto tcnico para el caso particular de la organizacin de destino, en su caso. La clasificacin de riesgo de la vulnerabilidad basada en el impacto de negocios deben seguir las siguientes pautas: