Pruebas de Intrusion

Descripción general de las pruebas de Intrusión El objetivo general de las pruebas de intrusión es descubrir áreas de la red de la empresa donde los intrusos pueden sacar partido de las vulnerabilidades de seguridad. Es necesario realizar varios tipos de pruebas de intrusión para los distintos tipos de dispositivos de red. Generalmente, se utilizan dos métodos: ·         El método de la caja negra el cual consiste en intentar penetrar en la red sin tener conocimientos del sistema para generar una situación realista. ·         El método de la caja blanca que consiste en intentar penetrar en el sistema conociéndolo por completo para poner a prueba al máximo los límites de seguridad de la red. El proceso de pruebas de intrusión tiene tres componentes básicos:        Definición del contexto        Realización de las pruebas de intrusión        Informe y entrega de resultados Hablemos de la realización de las pruebas, es decir, de lo que más nos interesa: Implican la recopilación de información y las pruebas al entorno específico, es esencial para el éxito de la prueba de intrusión. El proceso de pruebas comienza con la recogida de tanta información como sea posible acerca de la arquitectura de red, la topología, el hardware y el software para encontrar todas las vulnerabilidades de seguridad. Se pueden utilizar herramientas como ping, traceroute y nslookup para recuperar información del entorno seleccionado y ayudar a determinar la topología de red, el proveedor de Internet y la arquitectura. Herramientas como escáneres de puerto, NMAP (Network Mapping, exploración de red), SNMPC (Simple Network Management Protocol, protocolo de gestión de red en un PC) y NAT (NetBios Auditing Tool, herramienta de intervención NetBios) sirven para determinar el hardware, los sistemas operativos, los niveles de parches y los servicios que se ejecutan en cada dispositivo específico. Una vez que se haya reunido la información sobre todos los objetivos, los ingenieros de seguridad la utilizan para configurar herramientas de escaneo comercial como Internet Scanner de Internet Security Systems, el escáner CyberCop de McAfee y herramientas gratuitas como Nessus y Satan para buscar vulnerabilidades. El uso de estas herramientas comerciales y gratuitas acelera en gran medida el proceso de escaneo. Después de completar el escaneo de vulnerabilidades se examinan los elementos de salida en busca de falsas alarmas y falsos valores negativos. Cualquier vulnerabilidad de la que se sospecha su veracidad se vuelve a examinar o se le vuelven a aplicar las pruebas utilizando otras herramientas o secuencias personalizadas. Para realizar pruebas en busca de nuevas vulnerabilidades que no se hayan actualizado en los escáneres comerciales o gratuitos, los ingenieros de seguridad realizan pruebas adicionales y ejecutan ataques de reciente aparición. (Este último paso es necesario porque cada día aparecen nuevos ataques y pueden pasar varias semanas o meses antes de que estas vulnerabilidades se incluyan en las bases de datos de vulnerabilidades de las herramientas de escaneo automatizadas.) Una vez que se haya realizado el escaneo, los ingenieros de seguridad pueden realizar pruebas para elementos adicionales definidos en el contexto de las pruebas de intrusión, incluidos los ataques de denegación de servicio y las vulnerabilidades de contraseñas. Para realizar pruebas para dichos ataques en un entorno de producción sin temer los cortes de dispositivos, una empresa puede crear una imagen duplicada del dispositivo de producción y a continuación colocar la imagen en hardware similar para realizar las pruebas.