Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Metodología para la realización de un ethical hacking

No description
by

on 14 May 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Metodología para la realización de un ethical hacking

Jeny shirley Diaz Gonzalez
UNAD
Grupo: 233007_23
Trabajo Final Fase1

Metodología para la realización de un ethical hacking
La Multinacional “SSM Latin-World Corporation” desea que se socialicen los resultados finales y que se proponga una metodología final para poder implementar todos los hallazgos y sus respectivas acciones de mejora al interior.

Proponer para el informe final una metodología para la realización de un ethical hacking para un estudio serio de vulnerabilidades tecnológicas donde estén presentes las siguientes fases:


(hackeo ético) trata de explotar las vulnerabilidades existentes en los sistemas de "interés" valiéndose de test de intrusión, que verifican y evalúan la seguridad física y lógica , redes de computadoras, aplicaciones web, bases de datos, servidores, etc. Con la intención de ganar acceso y "demostrar" que un sistema es vulnerable, esta información es de gran ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados.

La Multinacional “SSM Latin-World Corporation” para esta finalidad utiliza medidas y técnicas propias de un hacker para el propósito principal de búsqueda de vulnerabilidades y brechas de seguridad que permitan la intruccion de la red afectando los servicios que presta y vulnerando la infraestructura tecnológica.


Ethical Hacking
a partir de estos resultados obtenidos sera posible determinar todas las medidas correctivas para alcanzar los estándares de seguridad requeridos en TI.

para desarrollar esta metodología la dividimos en las 4 fases que son:

PLANEACION: aparecen nuevas vulnerabilidades en los sistemas de información y que las compañías empezaron a determinaron controles para seguridad, es importante determinar un plan de revisión encaminado con el análisis de riesgo establecido son suficientes para evitar la materializaron de un ataque.

En esta fase confirmamos el alcance del servicio, entre el personal clave por de la multinacional, que nos permitiera alcanzar los objetivos del mismo cumpliendo con las expectativas. Las actividades ejecutadas son las siguientes:
  Definir y validar el plan de trabajo, interlocutores, fechas clave, etc.
 Definir el equipo de trabajo (roles y responsabilidades)
 Conducir la reunión de inicio con el personal clave de la multinacional



DESCUBRIMIENTO: Esta fase tuvo como propósito elaborar un perfil de los recursos de tecnología de la multinacional. Para esto utilizamos herramientas públicas disponibles que nos permiten obtener información general de la plataforma de TI objeto de la evaluación (v. gr. sistema operativo, versión, hardware, etc.). Las principales actividades de esta fase fueron las siguientes:

- Footprint de Hosts.
- Recopilación de Información pública (motores de búsqueda, NIC, etc.).
- Enumeración de la Red.
- Consultas DNS / Transferencia de Zonas.
- Reparación de fallas
Planteamiento del Problema
Planeación
Descubrimiento
Ataque
Reporte

ATAQUE:

Una vez recopilada esta información, relacionamos las diferentes vulnerabilidades asociadas a cada sistema. A continuación relacionamos las principales actividades que desarrollamos en esta fase, tanto para la infraestructura externa como interna:
- Adquisición de banners para determinar versiones de software que corren en los componentes de TI.
- Identificación de sistemas operativos por medio de técnicas de TCP/IP “Os fingerprinting”, aprovechando de las diferentes formas en que las empresas de software implementan el “stack” de TCP/IP.
- cuáles de ellos están abiertos, y establecer las potenciales vulnerabilidades asociadas a los mismos.
- Identificación de vulnerabilidades asociadas a los componentes de TI mediante el uso de diversas herramientas, buscando fallas y debilidades de configuraciones de seguridad que puedan ser usados como ruta de acceso a la información y servicios soportados y administrados por los componentes de TI.
se aplicaron las siguientes pruebas:
- Autenticación
- Ataques por Fuerza Bruta
- Cross Site scripting and Request Forgery
- Fuga de Información
- Ataques de SQL Injection
- Identificación de Vulnerabilidades de configuración del Web Server
- Referencia insegura de objetos
- Ubicación insegura de recursos
- Acceso a los directorios
Herramientas de Eticla hacking
Nmap


Herramienta estándar usada mundialmente por miles de consultores en el mundo, algunas de las características mas representativas de nmap son:


Escaneo de Puertos
Escaneo de servicios
Escaneo de vulnerabilidades
Escaneo de redes
Escaneo por scripts
Validación final y comunicación de resultados
Contempló lo siguiente:
 Validación de hallazgos, riesgos y recomendaciones con el personal de la Multinacional
 Elaboración del informe con los resultados de la evaluación y las oportunidades de mejoramiento identificadas.
 Emisión del informe final validado

Criterios de Riesgos
Con el fin de estar alineados con la Metodología de Riesgos definida por la multinacional en la “Guía de Administración de Riesgos Institucionales”, se definieron los mismos cuatro (4) niveles de severidad como se describen a continuación:
Full transcript