Test de intrusión. Barcelona, febrero de Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero.

Transcripción

1 Test de intrusión. Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero.

2 Objetivos y alcance

3 Objetivos y alcance Objetivo Introducción a los conceptos básicos para la ejecución de tests de intrusión bajo el marco del Open-Source Security Testing Methodology (OSSTM 2.2). Temario general I. Introducción II. Seguridad de la información III. Seguridad de los procesos de negocio IV. Seguridad Internet V. Seguridad en las comunicaciones VI. Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades

4 ÍNDICE I. Introducción II. Seguridad de la información III.Seguridad de los procesos de negocio IV.Seguridad Internet V. Seguridad en las comunicaciones VI.Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades Anexo III: Referencias

5 I. Introducción Recursos de información Open Source Security Testing Methodology (OSSTM) Information System Security Assessment Framework (ISSAF) Sans Institute Security Testing Best Practices CERT Security Testing Best Practices NIST Security & Risk Management Best Practices BS7799/ISO27002 VISA PCI DSS

6 I. Introducción Pilares básicos de la seguridad Confidencialidad: Debe permitirse acceso a la información solo a los usuarios autorizados. Integridad: Es necesario garantizar que la información no sea alterada por usuarios no autorizados. Disponibilidad: Se requiere garantizar que los sistemas y la información estará disponible cuando los usuarios autorizados la requieran.

7 I. Introducción Principios básicos de seguridad Minimizar la superficie de ataque: Cada funcionalidad añadida a la aplicación aumenta en un cierto porcentaje el riesgo de seguridad de la aplicación en conjunto. Establecer una configuración por defecto segura: Por ejemplo, exigentes políticas de contraseña. Principio del menor privilegio: Únicamente se deben conceder permisos para las tareas que se van a llevar a cabo. Por ejemplo, si un servidor solo necesita acceder a una base de datos remota, esta es la única funcionalidad que debe ser habilitada. Principio de la defensa en profundidad: Un único control es razonable, pero diversos controles que vigilen diferentes riesgos pueden ser mejor. Fallos seguros: Toda situación debe ser preparada para fallar de forma segura y controlada (e.g. control de excepciones).

8 I. Introducción Principios básicos de seguridad No confiar en los servicios de terceros: Si la aplicación recibe información de un tercero, se debe establecer controles rigurosos sobre esta interfase. Es posible que la fuente externa no disponga unas políticas de seguridad sólidas. Segregación de funciones: Una misma persona no debe acumular todas las funciones, mejor distribuir entre diferentes perfiles. Evitar la seguridad por ocultación (security by obscurity). Mantener la seguridad simple. Arreglar fallos de seguridad correctamente: Cuando se comparte código, es posible que fallos detectados en una funcionalidad puedan afectar a otras partes de la aplicación. Es importante testear y arreglar por completo el fallo identificado.

9 I. Introducción Open-Source Security Testing Methodology Guía que proporciona una metodología consensuada con objeto de obtener una imagen fiel del estado de la seguridad de los sistemas de información. Adaptable a diversos tipos de trabajo: Auditoria de los Sistemas de Información Auditoria de Seguridad Tests de intrusión (penetration tests) / Hacking ético La metodología intenta garantizar: Inclusión de todos los posibles canales. Respeto a los derechos fundamentales de privacidad. Los resultados son cuantificables. Los resultados son consistentes y repetibles. Los resultados contienen aspectos que derivan exclusivamente del propio test.

10 I. Introducción Amenaza Recurso Vulnerabilidad

11 I. Introducción Amenaza Técnicas de mitigación Recurso Alarma! ggrr! Vulnerabilidad

12 I. Introducción Tipología de trabajos Escaneo de vulnerabilidades: chequeos automatizados en busca de vulnerabilidades conocidas de los sistemas. Escaneo de seguridad: escaneo de vulnerabilidades que incluye la validación manual de falsos positivos, identificación de debilidades de la red y análisis profesional a medida. Test de intrusión: proyecto orientado al alcance de un objetivo / trofeo (p.ej. Conseguir acceso administrador a una BBDD determinada), para el cual se comprometen sistemas y se realiza escalado de privilegios. Valoración del riesgo: validación de seguridad a partir de entrevista, comprobaciones de nivel medio que incluyen análisis de evidencias, justificaciones legales, etc. Auditorias de seguridad: inspección de sistemas operativos y aplicaciones mediante acceso autorizado y privilegiado. Hacking Ético: tests de intrusión cuyo objetivo es el descubrimiento de objetivos / trofeos de una red, enmarcado dentro de un proyecto limitado en el tiempo.

13 I. Introducción Tipología de tests Blind: El auditor no tiene conocimiento previo de las defensas, los activos o canales del objetivo. Los responsables del objetivo son informados de la ejecución del test de intrusión. La profundidad de este tipo de tests dependen del las habilidades y conocimientos del auditor. Double Blind / Black box: El auditor no tiene conocimiento previo de las defensas, los activos o canales del objetivo. Los responsables del objetivo no son informados de la ejecución del test de intrusión. Permite la validación de la preparación frente a circunstancias adversas no previstas.

14 I. Introducción Tipología de tests Gray Box: El auditor tiene conocimiento previo limitado sobre las defensas y los activos del objetivo, adicionalmente tiene conocimiento completo de los canales. Los responsables del objetivo conocen todos los detalles del test. La profundidad del test dependerá de tanto de las habilidades del auditor como de la información proporcionada por el objetivo. Double Gray Box / White Box: El auditor tiene conocimiento previo limitado sobre las defensas y los activos del objetivo, adicionalmente tiene conocimiento completo de los canales. Los responsables del objetivo es informado del alcance y el periodo del test pero no de los canales y vectores de ataque que serán utilizados. Permite la validación de la preparación frente a circunstancias adversas no previstas.

15 I. Introducción Tipología de tests Tandem / Crystal Box: El auditor y los responsables del objetivo tienen todos los detalles de los sistemas de información y de las pruebas. Este tipo de test comprueba la eficacia de las medidas de protección y control implantadas (p.ej. el auditor puede solicitar acceso a logs, alarmas, etc.). Reversal: El auditor tiene conocimiento detallado sobre el objetivo. Los responsables del objetivo desconocen que activos, como o cuando van a ser testeados. Permite la validación de la preparación frente a circunstancias adversas no previstas.

16 I. Introducción Apartados Seguridad de la información Seguridad de los procesos Seguridad Internet Seguridad en las comunicaciones Seguridad wireless Seguridad física

17 ÍNDICE I. Introducción II. Seguridad de la información III.Seguridad de los procesos de negocio IV.Seguridad Internet V. Seguridad en las comunicaciones VI.Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades Anexo III: Referencias

18 II. Seguridad de la información Competitive Intelligence Review Herramientas Mirroring: HTTrack GNU Wget Desde una punto de acceso a Internet, obtener toda la información relativa a la organización disponible públicamente en la red: Páginas Web o servicios FTP: estructura de directorios. Redes P2P: Emule / Edonkey KaZaA Grokster BitTorrent Soulseek Gnutella Examinar la base de datos WHOIS para los dominios registrados. Buscar comentarios sobre la organización en foros, grupos de noticias (newsgroups), etc. Productos de la organización que pueden ser comprados online. Productos de la organización que pueden encontrarse en las redes P2P. Buscadores: Consulta de dominios / IPs: Consulta de BBDD Spammers: Otros:

19 II. Seguridad de la información Competitive Intelligence Review Google Hacking Database:

20 II. Seguridad de la información Competitive Intelligence Review $ whois -h whois.arin.net OrgName: ThePlanet.com Internet Services, Inc. OrgID: TPCM Address: 1333 North Stemmons Freeway Address: Suite 110 City: Dallas StateProv: TX PostalCode: Country: US ReferralServer: rwhois://rwhois.theplanet.com:4321 NetRange: NameServer: NS1.THEPLANET.COM NameServer: NS2.THEPLANET.COM Comment: RegDate: Updated: RTechHandle: PP46-ARIN RTechName: Pathos, Peter RTechPhone: RTech adimns@theplanet.com

21 II. Seguridad de la información Competitive Intelligence Review $ DNS server> -t MX oissg.org ; <<>> DiG DNS server> -t MX oissg.org ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 1 ;; QUESTION SECTION: ;oissg.org. IN MX ;; ANSWER SECTION: oissg.org IN MX 20 mail.oissg.org. oissg.org IN MX 30 mx2.mailhop.org. ;; AUTHORITY SECTION: oissg.org IN NS li9-102.members.linode.com. oissg.org IN NS li9-37.members.linode.com. ;; ADDITIONAL SECTION: mail.oissg.org IN A ;; Query time: 115 msec ;; SERVER: <IP of domain DNS server>#53(<domain DNS server>) ;; WHEN: Sat Feb 11 12:30: ;; MSG SIZE rcvd: 153

22 II. Seguridad de la Información Revisión de la privacidad Identificar los puntos públicos donde se trata o transmite datos de carácter personal: Identificar posibles incumplimientos de leyes locales, regionales, etc. Identificar información recolectada por la organización (p.ej. formularios) Identificar el uso de cookies, tipología, expiración, etc.

23 II. Seguridad de la Información Document Grinding Analizar el perfil de la organización y de las personas clave de la misma: Identificar personas clave de la organización y recopilar información de contacto. Investigar cada una de las personas identificadas: páginas personales, curriculums, redes sociales, forums, etc. Buscar información oculta en los documentos públicos (p.ej. Control de versiones de documentos word). Redes sociales: Buscadores de personas:

24 II. Seguridad de la Información Document Grinding $ nc -vv mail.oissg.org OISSG Mail Server EHLO assessor 250-server1.oissg.org 250-PIPELINING 250-SIZE VRFY 250-ETRN 250-AUTH=LOGIN PLAIN 250 8BITMIME VRFY balwant 550 <balwant>: Recipient address rejected: User unknown in local recipient table MAIL FROM: tester@nodomainwiththisname.rrr 250 Ok RCPT TO: balwant@oissg.org 250 Ok RCPT TO: nouserwiththisname@oissg.org 550 <nouserwiththisname@oissg.org>: Recipient address rejected: User unknown in virtual alias table

25 ÍNDICE I. Introducción II. Seguridad de la información III.Seguridad de los procesos de negocio IV.Seguridad Internet V. Seguridad en las comunicaciones VI.Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades Anexo III: Referencias

26 III. Seguridad de los procesos Test de petición El objetivo de este punto es intentar ganar acceso privilegiado a la organización o a sus activos mediante la petición a personal interno desde una posición privilegiada fraudulenta: Seleccionar una persona interna que nos pueda facilitar el acceso. Identificar información específica sobre la persona (posición, hábitos, preferencias, etc.) Contactar y solicitar información desde una posición privilegiada (p.ej. Simular ser un superior en la jerarquia de la organización). Enumerar información descubierta. Test de petición desde posición de confianza Ingeniería Social: Práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Los 4 principios según Kevin Mitnick: - Todos queremos ayudar. - El primer movimiento es siempre de confianza hacia el otro. - No nos gusta decir No. - A todos nos gusta que nos alaben.. Mismo objetivo que el punto anterior, pero realizado desde una posición de confianza real (p.ej. empleado/compañero/superior/etc.)

27 III. Seguridad de los procesos Test de sugestión guiada Invitar a personal interno a acceder a una web externa fraudulenta (u otro tipo de recurso): Identificar personas clave de la organización y recopilar información de contacto. Invitar a la persona a visitar / utilizar el recurso fraudulento. Enumerar información descubierta. Phishing: El phishing es llevado a cabo por atacantes que intentan hacerse pasar por una entidad de confianza utilizando técnicas de ingeniería social. A su vez, para dar una mayor confianza a la víctima, utilizan la estética de la entidad que desean suplantar.

28 ÍNDICE I. Introducción II. Seguridad de la información III.Seguridad de los procesos de negocio IV.Seguridad Internet V. Seguridad en las comunicaciones VI.Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades Anexo III: Referencias

29 IV. Seguridad Internet Objetivo: esquema de red, servicios, etc. En una primera fase el objetivo consiste en identificar los sistemas y servicios de la organización objetivo Red objetivo ADSL Router x.x Internet Internet.1 Firewall.23 Domain ExchangeBlackberry Controllers Server Server x Laboratorio

30 IV. Seguridad Internet Ofertas de empleo: Escaneo de red Identificar el número de sistemas accesibles desde la red: Examinar la información registrada en los servidores de dominio. Identificar la parte externa de la red (traceroute). Examinar información en el código fuente de las aplicaciones en búsqueda de enlaces ocultos. Examinar las cabeceras de los correos electrónicos (correos devueltos, recibos, etc.). Buscar en webs de trabajo ofertas de empleo de la organización que detallen los requisitos de conocimiento de Software o Hardware específico. Herramientas escaneo: Hping (pings a medida) Fping (pings en paralelo) Unix / Windows ping Nmap traceroute tcptraceroute Paketto Keiretsu (manipulación TCP/IP)

31 IV. Seguridad Internet TCP/IP TTL (Time to Live): En cada salto del paquete, el TTL es decrementado en 1. Al llegar a 0, se envia paquete de error. Ventana: Un lado de la conexión informa la cantidad de datos que puede ser enviados en la siguiente transmisión. Scan SYN Stealth: Se verifican los puertos sin llegar a completar la conexión.

32 IV. Seguridad Internet Escaneo de red ICMP # traceroute I Nota: El comando tracert de Windows realiza el trazado utilizando ICMP por defecto. UDP # traceroute traceroute to ( ), 64 hops max, 40 byte packets 1 * * * ( ) 23 ms 23 ms 22 ms ( ) [MPLS: Label 1479 Exp 0] 38 ms 51 ms 38 ms 4 cnt-00-tge1-0-0.gw.cantv.net ( ) 38 ms 38 ms 37 ms 5 cri-00-pos1-0-0.border.cantv.net ( ) 51 ms 43 ms 43 ms 6 sl-st21-mia sprintlink.net ( ) 94 ms 93 ms 93 ms TCP # tcptraceroute -f 5 pages.ebay.com Selected device eth0, address , port 1056 for outgoing packets Tracing the path to pages.ebay.com ( ) on TCP port 80 (www), 30 hops max 5 core2-abov-ds3.b2.iad.netaxs.net ( ) ms 6 core1-mae-e-gige-1.mae-e.iad.netaxs.net ( ) ms 7 core1-core3-fe-1.mae-e.iad.netaxs.net ( ) ms ATM3-0.BR3.DCA6.ALTER.NET ( ) ms

33 IV. Seguridad Internet Escaneo de red Paketto Keiretsu- Paratrace: No genera un paquete ICMP, UPD o TCP SYN nuevo. Por el contrario, utiliza algun flujo TCP ya existente, enviando TCP Keepalive para determinar los saltos intermedios. TCP Keepalive: Paquete sin datos y con el bit ACK activado. Se utiliza para verificar que la conexión establecida no ha sido cerrada. # paratrace Waiting to detect attachable TCP connection to host/net: :80/ = [01] s ( > ) 002 = [01] s ( > ) 003 = [02] s ( > ) 004 = [03] s ( > ) UP: :80 [04] s ( > )

34 IV. Seguridad Internet Escaneo de red # nmap -v -sp Starting nmap V ( Host ( ) appears to be down. Host ( ) appears to be down. Host ( ) appears to be down. Host ( ) appears to be down. Host ( ) appears to be up. Nota: La combinación de la opción sp conjuntamente con PE, PA o PS podria proporcionar mejores resultados. Consultar man page. # nmap -sp vv PS Starting nmap V ( Host ( ) appears to be down. # hping -S -c HPING (eth ): S set, 40 headers + 0 data bytes len=46 ip= ttl=60 id=1650 sport=0 flags=ra seq=0 win=0 rtt=2.8 ms # arping ARPING from eth0 Unicast reply from [DE:30:3A:CA:D4:44] 1.584ms

35 IV. Seguridad Internet Escaneo de puertos Validación activa de los puertos abiertos/filtrados de los diferentes sistemas: Realizar escaneo de puertos completo o parcial (p.ej. 21, 22, 25, 80 y 443) para los sistemas de la red. TCP SYN Scan # nmap vv -ss Starting nmap V ( ) Host ( ) appears to be up... good. Initiating SYN Stealth Scan against ( ) The SYN Stealth Scan took 16 seconds to scan 1601 ports. Interesting ports on ( ): (The 1594 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 23/tcp open telnet 80/tcp open http 280/tcp open http-mgmt 515/tcp open printer 631/tcp open ipp 9100/tcp open jetdirect Herramientas: Nmap Netcat Hping Fscan GFI LANGuard Amap telnet Arpping Arpwatch Paketto Scanrand

36 IV. Seguridad Internet Escaneo de puertos UDP Scan # nmap vv -su Starting nmap V ( ) Host ( ) appears to be up... good. Initiating UDP Scan against ( ) The UDP Scan took 12 seconds to scan 1468 ports... Interesting ports on ( ): (The 1466 ports scanned but not shown below are in state: closed) Port State Service 161/udp open snmp 427/udp open svrloc Nmap run completed -- 1 IP address (1 host up) scanned in 12 seconds

37 IV. Seguridad Internet Identificación del sistema y los servicios Determinar el sistema operativo y la versión del mismo (fingerprinting): Uso de herramientas específicas (p.ej. nmap) Sniffers: Wireshark Ettercap-NG TCPDump Buscar en webs de trabajo ofertas de empleo de la organización que detallen los requisitos de conocimiento de Software o Hardware específico. Escaneo pasivo (TTL y ventanas) # p0f p0f - passive os fingerprinting utility, version (C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com> p0f: listening (SYN) on 'eth0', 231 sigs (13 generic), rule: 'all' : Windows XP SP1, 2000 SP3 (2) -> :22 (distance 0, link: ethernet/modem) : Linux 2.5 (sometimes 2.4) (4) (up: 2 hrs) -> :80 (distance 0, link: ethernet/modem)

38 IV. Seguridad Internet Identificación del sistema y los servicios Pila TCP/IP (envío de paquetes a medida y contraste de respuesta) # nmap -O Starting nmap 3.81 ( ) at :45 Interesting ports on gateway ( ): (The 1662 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 80/tcp open http MAC Address: 00:06:25:EC:CC:D9 (The Linksys Group) Device type: WAP broadband router Running: Linksys embedded OS details: Linksys BEFW11S4 WAP or BEFSR41 router Otras herramientas: queso xprobe2

39 IV. Seguridad Internet Identificación del sistema y los servicios #./httprint -h s signatures.txt httprint v0.202 (beta) - web server fingerprinting tool Banner Reported: - Banner Deduced: Linksys BEFSR41/BEFSR11/BEFSRU31 Score: 65 Confidence: Scores: Linksys BEFSR41/BEFSR11/BEFSRU31: Cisco-HTTP: # nc -vv 80 Warning: inverse host lookup failed for : Unknown host [ ] 80 (http) open HEAD / HTTP/1.0 HTTP/ OK Date: Sun, 12 Oct :36:46 GMT Server: Apache/ (Unix) mod_jk mod_perl/1.27 mod_perl/1.27 Last-Modified: Mon, 06 Oct :13:35 GMT

40 IV. Seguridad Internet Identificación del sistema y los servicios # nmap ss sv Starting nmap 3.81 ( ) at :03 CDT Interesting ports on localhost ( ): (The 1662 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 2.0) # amap v amap v4.8 ( started at :58:53 - MAPPING mode Total amount of tasks to perform in plain connect mode: 17 Waiting for timeout on 17 connections... Protocol on :22/tcp (by trigger http) matches ssh Protocol on :22/tcp (by trigger http) matches ssh-openssh Unidentified ports: none.

41 IV. Seguridad Internet Búsqueda y verificación de vulnerabilidades Identificar las debilidades, configuraciones inseguras y vulnerabilidades de los sistemas. En este paso se pueden utilizar herramientas automáticas, cuyos resultados deben ser acompañados de verificaciones manuales para eliminar falsos positivos. Identificar vulnerabilidades relacionadas con las aplicaciones y el sistema operativo. Verificar falsos positivos y falsos negativos. Nota: Importante tomar precauciones para no provocar denegaciones de servicio en sistemas críticos.

42 IV. Seguridad Internet Búsqueda y verificación de vulnerabilidades Escaners automáticos: Nessus Herramienta gratuita. Problemas con falsos positivos y denegaciones de servicio. XXX Verificación de vulnerabilidades: Metasploit XXX

43 IV. Seguridad Internet Test de aplicaciones web Capa aplicación: Ingeniería inversa Autenticación Gestión de sesiones Manipulación de datos de entrada Manipulación de datos de salida Fuga de información Nota: Consultar anexo I Intercepción HTTP: WebScarab Paros Proxy Herramientas escaneo web: Nikto 2 Wikto XXX Whisker Java Bro Fuzzer Burp Suite

44 IV. Seguridad Internet Otras tareas Routers: Verificar la correcta implantación de políticas de flujo de tráfico (denegar por defecto). Sistemas de confianza: Identificar controles de seguridad basados en la confianza (p.ej. Permitir conexiones sin contraseña de una determinada IP) e intentar realizar un spoofing (suplantación). Cortafuegos: Verificar la correcta implantación de las reglas del cortafuego (firewalking). Revisión de logs. Sistemas de detección de intrusos (IDS): Verificar el rendimiento y la sensibilidad de los sistemas IDS. Revisión de logs. Medidas de contención: antivirus, protecciones de escritorio, etc. Password Cracking: Validación de la robustez de las contraseñas (ataques de diccionario, fuerza bruta, etc.). Denegación de servicio: Identificar posibles causas de DOS. Quedan excluidos de las pruebas los ataques por Flood o Distributed DOS, dado que esta tipología de ataque siempre tiene efectos negativos sobre los sistemas. Revisión de la política de seguridad: Alineación a las necesidades del negocio y a los requerimientos legales Grado de cumplimiento actual Herramientas Firewalking: Firewalk Ftester Password cracking: John the ripper XXX Cain & Abel RainbowCrack THC Hydra Brutus

45 ÍNDICE I. Introducción II. Seguridad de la información III.Seguridad de los procesos de negocio IV.Seguridad Internet V.Seguridad en las comunicaciones VI.Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades Anexo III: Referencias

46 V. Seguridad de las comunicaciones Identificar posibles debilidades que permitan ganar acceso a los siguientes elementos: PBX (centralitas telefónicas) Contestadors automáticos: Robustez de PINs. Fax Modem: mecanismos de autenticación.

47 ÍNDICE I. Introducción II. Seguridad de la información III.Seguridad de los procesos de negocio IV.Seguridad Internet V. Seguridad en las comunicaciones VI.Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades Anexo III: Referencias

48 VI. Seguridad de las redes inalámbricas Radiaciones electromagnéticas (EMR) A partir de las emisiones electromagnéticas de determinados dispositivos (pantallas CRT, LCDs, impresoras, módems, teléfonos móviles, etc.) podria llegar a ser reconstruida la información mostrada en la pantalla, impresa, transmitida, etc. El equipamiento para explotar o testear esta vulnerabilidad es muy costoso y suele realizarse únicamente con información muy sensible. Evaluar las necesidades del negocio. Validar la ubicación del equipamiento con objeto de estudiar la posibilidad de proteger los dispositivos en salas especialmente diseñadas (Faraday Cage). Redes Wireless Idenificar los puntos de acceso disponibles por la organización. Determinar el grado de acceso físico directo a los puntos de acceso. Verficar el uso de algoritmos de cifrado seguros (WPA-2) Scan redes Wireless: Kismet Aircrack-ng XXX

49 VI. Seguridad de las redes inalámbricas Otras redes inalámbricas: evaluar las necesidades del negocio, verificar posibles vulnerabilidades, etc. Bluetooth Dispositivos inalámbricos (p.ej. Teclados, ratones, etc.) Dispositivos de monitorización inalámbricos (p.ej. Micrófonos, cámaras, etc.) RFID (Identificadores por radiofrecuencia): habitual en procesos logísticos. Sistemas de infrarrojos

50 ÍNDICE I. Introducción II. Seguridad de la información III.Seguridad de los procesos de negocio IV.Seguridad Internet V. Seguridad en las comunicaciones VI.Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades Anexo III: Referencias

51 VII. Seguridad física Revisión perimetral Mapa físico del perímetro Medidas de protección (puertas, vallas, etc.) Rutas o métodos de acceso Areas no monitorizadas Revisión de la monitorización Enumerar dispositivos de monitorización Prueba de los dispositivos de monitorización para comprobar posibles limitaciones, debilidades y denegaciones de servicio. Controles de acceso Enumerar las áreas con controles de acceso Examinar los dispositivos de acceso y los tipos de alarmas Prueba de los dispositivos de acceso para comprobar posibles limitaciones, debilidades y denegaciones de servicio.

52 VII. Seguridad física Revisión de las respuestas ante alarmas Enumerar los dispositivos de alarma Evaluar los procedimientos definidos para cada tipo de alarma Prueba de los dispositivos de alarma para comprobar posibles limitaciones, debilidades y denegaciones de servicio. Revisión de la ubicación Enumerar áreas visibles dentro de la organización Enumerar áreas que faciliten la escucha pasiva dentro de la organización Evaluar los controles sobre el personal de limpieza, distribución, etc. Revisión del entorno Evaluar las probabilidades para la ocurrencia de catástrofes naturales Evaluar los procedimientos de restauración y recuperación definidos

53 ÍNDICE I. Introducción II. Seguridad de la información III.Seguridad de los procesos de negocio IV.Seguridad Internet V. Seguridad en las comunicaciones VI.Seguridad de las redes inalámbricas VII.Seguridad física Anexo I: Test de aplicaciones web Anexo II: Valoración del riesgo / vulnerabilidades Anexo III: Referencias

54 Anexo I: Test de aplicaciones web I. Introducción vulnerabilidades web II. III. IV. Protocolo HTTP Test de intrusión web Vulnerabilidades comunes V. Ejemplos

55 Anexo I: Test de aplicaciones web Búsqueda y verificación de vulnerabilidades web Los escaners que han sido presentados en secciones anteriores (Nessus, XXX) proporcionan información sobre vulnerabilidades conocidas. Network Security Scanner

56 Anexo I: Test de aplicaciones web Búsqueda y verificación de vulnerabilidades web Las aplicaciones web a medida disponen de sus propias vulnerabilidades. Se requiere escaners que identifiquen debilidades genéricas (XSS, SQL Injection, etc.) o ejecución de pruebas manuales.

57 Anexo I: Test de aplicaciones web Búsqueda y verificación de vulnerabilidades web Intercepción HTTP: WebScarab Paros Proxy

58 Anexo I: Test de aplicaciones web I. Introducción vulnerabilidades web II. III. IV. Protocolo HTTP Test de intrusión web Vulnerabilidades comunes V. Ejemplos

59 Anexo I: Test de aplicaciones web Protocolo HTTP Sesión: - El cliente es marcado con un identificador (p.ej. Cookie, parámetro oculto, etc.). - El servidor almacena información temporal vinculada al identificador. El protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol) es el protocolo usado en cada transacción de la Web. Protocolo orientado a transacciones que sigue el esquema petición-respuesta entre un cliente y un servidor. Un cliente que desea ejecutar una transacción, accede a un recurso que es identificado mediante una URL. Los recursos pueden ser archivos, el resultado de la ejecución de un programa, una consulta a una base de datos, la traducción automática de un documento, etc. HTTP no guarda ninguna información sobre conexiones anteriores (stateless protocol). Si se requiere mantener información de estado (p.ej. Información relativa al usuario autenticado) se hace uso de cookies: Una cookie es un fragmento de información (p.ej. Identificador unívoco) que se almacena en el disco duro del visitante de una página web a través de su navegador. En cada nueva petición, el cliente añade la información de las cookies pertenecientes al servidor que esta accediendo.