PRESENTACIÓN El curso proporciona una visión técnica de la seguridad de la información a través del Hacking ético, utilizando técnicas usuales como la recopilación de información y detección de la vulnerabilidad, tanto dentro como fuera de una red empresarial, así, la prevención se convierte en una herramienta eficaz para fortalecer la seguridad de la información en las empresas.
Página 1 OBJETIVOS Introducir al participante en el mundo de la seguridad de la información (SI) desde su aspecto más técnico, mostrando las técnicas de hacking ético más comunes y las metodologías más usadas.
ESTRUCTURA 75 horas: 3 créditos ECTS
DIRIGIDO A • Ingenieros • Técnicos y superiores en carreras técnicas • Directores de sistemas • Administradores • Auditores • Consultores de seguridad • En general, cualquier persona relacionada con el mundo de los sistemas de información con voluntad de introducirse o actualizar sus conocimientos en el área de seguridad de la información.
PREREQUISITOS Acceso con cuenta de administrador al equipo.
- Tener instalada la herramienta gratuita de virtualización VMware Server 2.0 (se obtiene de http://downloads.vmware.com/d/info/datacenter_downloads/vmware_server/2_0). - Máquina virtual instalada: Backtrack 4.0 (se obtiene de http://www.backtrack-linux.org/downloads/). - Máquina virtual instalada: Ubuntu 8.10 Server (se obtiene de http://linhost.info/vmware/). - Opcional: Máquina Virtual instalada con sistema Windows 2003 para realizar alguna práctica extra. - Visor de PDF. - Acceso a internet.
Página 2 PROGRAMA MÓDULO DENOMINACIÓN I Teoría - Introducción al Hacking Ético Cuestionario Módulo I II Teoría – Recopilación de información pública Prácticas Módulo II Cuestionario Módulo II III Teoría – Mapeo de la red Prácticas Módulo III Cuestionario Módulo III IV Teoría – Enumeración de vulnerabilidades Prácticas Módulo IV Cuestionario Módulo IV V Teoría – Acceso a sistemas vulnerables Prácticas Módulo V Cuestionario Módulo V VI Teoría – Seguridad en aplicaciones Web Prácticas Módulo VI Cuestionario Módulo VI VII Teoría - Metodologías de test de intrusión Cuestionario Módulo VII
Tema 1. Introducción al Hacking Ético
1.1. Introducción. 1.2. Historia (Hacker y Cracker). 1.3. Concepto de hacking ético. 1.4. Propósito y beneficios del uso de técnicas de hacking ético. 1.5. Aspectos Legales. Evaluación Cuestionario Tipo Test Módulo I
Tema 2. Recopilación de información pública
2.1. Introducción. 2.2. Fuentes de información en Internet. 2.3. Enumeración de recursos mediante WHOIS y DNS. 2.4. Descarga de páginas web. 2.5. Motores de búsqueda (Google Hacking). 2.6. Redes Sociales. 2.7. Otras localizaciones de información (Foros, Documentación técnica …). Evaluación Cuestionario Tipo Test Módulo II Prácticas Recopilación de información pública de una organización mediante las técnicas mostradas en el tema.
Página 3 Tema 3. Mapeo de la red 3.1. Introducción 3.2. Enumeración de sistemas alcanzables. 3.3. Escaneo de puertos. 3.3.1 Escaneos TCP y UDP. 3.3.2. Identificación de SO. 3.3.3. Identificación de servicios en ejecución. Evaluación Cuestionario Tipo Test Módulo III Prácticas Realización de escaneos sobre la máquina local y otras máquinas especialmente preparadas a tal efecto.
Tema 4. Enumeración de vulnerabilidades
4.1. Introducción. 4.2. Extracción de información en sistemas Windows (MBSA). 4.3. Escáneres automáticos (Nessus). 4.4. Recursos para la obtención de información sobre vulnerabilidades. Evaluación Cuestionario Tipo Test Módulo IV Prácticas Realización de un escaneo automático de la máquina local.
Tema 5. Acceso a sistemas vulnerables
5.1. Introducción 5.2. Recursos online para la obtención de exploits. 5.3. Metasploit. Evaluación Cuestionario Tipo Test Módulo V Prácticas Utilización de un exploit en un entorno controlado.
Tema 6. Seguridad en aplicaciones web
6.1. Introducción. 6.2. Riesgos más importantes de las aplicaciones web. 6.2.1. Cross Site Scripting (XSS). 6.2.2. Cross Site Request Forgery (CSRF). 6.2.3. Inyección de código SQL o HTML. Evaluación Cuestionario Tipo Test Módulo VI Prácticas Pruebas de vulnerabilidades web.
Tema 7. Metodologías de test de intrusión
7.1. Introducción 7.2. Metodología OSSTMM. 7.3. Metodología OWASP. 7.4. Metodología ISSAF. Evaluación Cuestionario Tipo Test Módulo VII
Página 4 INFORMACIÓN E INSCRIPCIONES PRECIO: 350€ (exento de IVA)
La documentación está accesible en la plataforma de formación.
INSCRIPCIÓNES: cursos@setival.com Tel.: (91) 49 83 253 En caso de encontrarse interesado en realizar este curso, por favor rellene los documentos que se adjuntan y reenvíelos a este mismo e-mail.
FORMACIÓN GRATUITA parcialmente o en su totalidad, para las Empresas y Trabajadores asalariados
que lo soliciten, a través del Sistema de Bonificaciones a los Seguros Sociales de la Fundación Tripartita para la Formación en el Empleo. Orden TAS/2307/2007 y el RD 395/2007. Si desea optar a esta opción, deberá manifestarlo con 15 días de anticipación a la fecha en que inicia el curso para realizar la gestión respectiva.
