Planificar una Prueba de Penetración

Cuando se planifica una prueba de penetración, se deberá tener en consideración el tipo, alcance, locaciones, organización, metodología y etapas de la prueba.

Tipos de Pruebas de Penetración

Existen básicamente tres tipos para pruebas de penetración; caja blanca, caja negra, y caja gris.

Pruebas de Caja Blanca

Las pruebas de caja blanca son cuando el equipo de pruebas tiene acceso hacia los diagramas de red, registro de activos, y otra información útil. Este método es utilizado cuando el tiempo es esencial, cuando la inversión es reducida, y el número de horas autorizadas es limitada. Este tipo de pruebas es el menos realista, en términos de aquello lo cual los atacantes pueden hacer.

Pruebas de Caja Negra

Las pruebas de caja negra son cuando no se proporciona absolutamente ninguna información al equipo de pruebas de penetración. De hecho, utilizando este método de prueba, el equipo de pruebas de penetración podría únicamente tener el nombre de la compañía. Otras veces, podría proporcionarse un rango de direcciones IP y otros parámetros para limitar un potencial daño colateral. Este tipo de prueba representa más precisamente aquello lo cual un atacante puede hacer, de manera más realista.

Pruebas de Caja Gris

Las pruebas de caja gris, como se puede inferir, está entre las pruebas de caja blanca y pruebas de caja negra. Esta es la mejor manera para pruebas de penetración, donde al equipo de pruebas de penetración se le proporciona información limitada, y únicamente como es requerida. Así, a medida se avanza desde el exterior hacia el interior, se otorga más acceso a la información, para acelerar el proceso. Este método de prueba maximiza el realismo sin dejar de ser económico.

Alcance de una Prueba de Penetración

El alcance es probablemente el tema más importante cuando se planifica una prueba de penetración. La prueba puede variar enormemente dependiendo si el cliente desea abarcar todos sus sistemas, o únicamente una parte de ellos. Es importante obtener conocimientos de los tipos de sistemas dentro del alcance, para adecuadamente cotizar todo el esfuerzo. La siguiente es una lista de preguntas adecuadas a formular al cliente (particularmente en un escenario de prueba de penetración de tipo caja blanca):

  • ¿Cual es el número de dispositivos de red en el alcance?
  • ¿Cuales tipos de dispositivos de red están en el alcance?
  • ¿Cuales son los tipos de sistemas operativos conocidos en el alcance?
  • ¿Cuales son los sitios web conocidos en el alcance?
  • ¿Cual es la longitud de la evaluación?
  • ¿Cual locaciones están en el alcance?

Locaciones de una Prueba de Penetración

Determinar la locación en el alcance es crítico para establecer la cantidad de viajes y el nivel de esfuerzo involucrado para pruebas de seguridad física, inalámbrica, y ataques de ingeniería social. En algunas situaciones, podría no ser práctico evaluar todos los sitios, pero se necesita atacar las locaciones clave. Por ejemplo, ¿Dónde están los datacenters o centros de datos, y los usuarios normales?.

Organización de un Equipo para Pruebas de Penetración

La organización de una prueba de penetración varía de un trabajo a otro, pero las siguientes posiciones clave deben ser ocupadas (una persona puede ocupar más de una posición).

  • Líder del equipo
  • Experto en seguridad física
  • Experto en ingeniería social
  • Experto en seguridad inalámbrica
  • Experto en seguridad de redes
  • Experto en sistemas operativos

Metodologías y Estandares

Existen varias metodologías y estándares bien conocidas para pruebas de penetración.

OWASP

Open Web Application Security Project; OWASP por su sigas en idioma inglés, ha desarrollado un amplio conjunto de estándares, recursos, material para entrenamiento y su famoso OWASP TOP 10, el cual proporciona las diez vulnerabilidades web principales , y los métodos para detectarlos y prevenirlos.

OSSTMM

Open Source Security Testing Methodology Manual; OSSTMM por sus siglas en idioma inglés, es una metodología ampliamente utilizada, la cual abarca todos los aspectos para realizar evaluaciones. El propósito de OSSTMM es desarrollar un estándar, el cual, si es seguido, asegure una línea base de pruebas a realizar, sin importar el entorno del cliente o proveedor de la prueba. Este estándar es abierto y libre al público, como su nombre implica.

Fases de una Prueba de Penetración

Es útil dividir una prueba de penetración en fases. Por ejemplo, una manera de hacer esto es tener una operación de tres fases:

  • I: Externa
  • II: Interna
  • III: Evaluación de Calidad (QA) y Reporte

Luego, cada fase puede ser dividida en subfases, por ejemplo:

  • I.a: Reconocimiento
  • I.b: Ingeniería Social
  • I.c: Escaneo de Puertos
  • II.a: Pruebas a las capacidades de seguridad interna
  • etc.

También es importante capturar el plan y asignaciones en una hoja de cálculo, lo cual se conoce como un plan para pruebas de penetración. Una hoja de cálculo permite adecuadamente balancear la carga del equipo, y asegurarse todos los elementos de las fases están programadas apropiadamente.

Fuentes:

https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
http://www.isecom.org/research/
http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1