Especificar Dominios y Rangos de Direcciones IP Previo al Contrato de una Prueba de Penetración

  • Posted on: 21 June 2021
  • By: ReYDeS

Antes de iniciar la prueba de penetración, debe ser identificada toda la infraestructura a evaluar. Esta infraestructura debe ser obtenida desde el cliente durante la fase inicial de preguntas. La infraestructura puede ser proporcionada en la forma de direcciones IP, rangos de red, o nombres de dominio del cliente. En algunas instancias el único dato proporcionado por el cliente es el nombre de la organización, quien espera los profesionales en pruebas de penetración sean capaces de identificar el resto por si mismos. Es importante definir si los sistemas como firewalls e IDS/IPS, o equipo de red, los cuales están entre el profesional y la infraestructura final también son parte del alcance. Elemento adicionales como proveedores de servicios deben ser identificados y definir si están dentro del alcance.

Validar los Rangos

Es imperativo antes de empezar a atacar la infraestructura, validar si esta es propiedad del cliente. Se debe analizar cuidadosamente las consecuencias legales a enfrentar, si se empieza a atacar una máquina y se la penetra exitosamente, solo para descubrir más adelante la máquina pertenece a otra organización (como un hospital o una agencia del gobierno).

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement#Specify_IP_Rang...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete