TESIS PREVIO A LA OBTENCIN DEL TTULO DE

INGENIERO EN SISTEMAS

TEMA: PROPUESTA METODOLGICA PARA REALIZAR PRUEBAS DE

PENETRACION EN AMBIENTES VIRTUALES

AUTOR:

JOS A. QUISPE PALACIOS Sangolqu febrero, 2016

 AGENDA
ANTECEDENTES
DESARROLLO
DESCRIPCIN DEL PROBLEMA.
OBJETIVOS.
MARCO TERICO.
ANLISIS Y EVALUACIN DE HERRAMIENTAS DE PRUEBAS DE
PENETRACIN EN AMBIENTES VIRTUALES.
METODOLOGA PROPUESTA.
CONCLUSIONES Y
RECOMENDACIONES.
 ANTECEDENTES

Los sistemas informticos desde sus

inicios han enfrentado el reto de
proteger la informacin con la cual
trabajan, y con el desarrollo
tecnolgico las tcnicas de Seguridad
Informtica se han vuelto ms
complejos para enfrentar los ataques.
Y puesto que los intrusores tambin
han desarrollado tcnicas cada vez
ms sofisticadas para romper dichas
seguridades, se hace necesario
anticiparse a dichos eventos,
simulando Pruebas de Penetracin.
 ANTECEDENTES
Las Pruebas de Penetracin utilizan
una variedad de herramientas
especializadas para hacer pruebas
mucho ms rpidas y eficaces para el
descubrimiento de vulnerabilidades.
Un Pen Test, no es tarea fcil y
requiere de un conocimiento slido y
profundo de las tecnologas
involucradas en los sistemas,
aplicaciones y servicios, adems de
una ptica y experiencia amplia en el
comportamiento de varios sistemas
operativos.
 ANTECEDENTES
Las herramientas disponibles para
efectuar estas pruebas de penetracin
pasan por varios grados de complejidad,
y el manejo de algunas de ellas puede
ser todo un reto a la inteligencia y
sagacidad del atacante o pen-tester.
Entre ellas se incluyen desde scanners
de puertos, complejos algoritmos para
descifrar claves, sistemas de intrusin
por fuerza bruta, herramientas de
sniffing de redes y penetracin de
firewalls, as como tambin
herramientas de escaneo de
vulnerabilidades de aplicaciones web y
mucho ms.
 DESARROLLO

DESCRIPCIN DEL PROBLEMA

Las organizaciones frente al escalamiento de

aplicaciones y servicios requeridos, se han
orientado a la Virtualizacin para optimizar
recursos informticos, y en funcin de
precautelar la seguridad, se hace necesario se
investigue respecto a pruebas de penetracin
orientados para ambientes virtuales, y esta
inquietud busca cumplir el presente trabajo de
investigacin.
 JUSTIFICACIN E IMPORTANCIA
En el Ecuador con la masificacin del uso de las
computadoras y el acceso al servicio del internet, ha hecho
que los usuarios cometan delitos informticos de manera
voluntaria o involuntaria, pero las autoridades se han
involucrado en el tema sin dar solucin por falta de
infraestructura, equipamiento y de personal altamente
capacitado.
Desde hace varios aos se ha comprobado que gracias a
este tipo de pruebas, se puede descubrir falencias en la
seguridad que comprometen activos crticos de las
organizaciones.
A pesar de que es necesario tener experiencia y gran
conocimiento para realizar pruebas de penetracin, este
tipo de pruebas es aplicable tanto a grandes como
pequeas organizaciones, con distinta infraestructura
tecnolgica.
 OBJETIVO GENERAL
Desarrollar una Propuesta Metodolgica
para realizar Pruebas de Penetracin en
Ambientes Virtuales
 OBJETIVOS ESPECFICOS
Analizar las Mejores Prcticas de
Seguridad Informtica para el Desarrollo
de la Propuesta Metodolgica para
Pruebas de Penetracin en Ambientes
Virtuales

Investigar el Estado del Arte de las

Pruebas de Penetracin en Ecuador.
 OBJETIVOS ESPECFICOS
Evaluar las diferentes Herramientas que
para Realizar Pruebas de Penetracin
(Penetration Test) en Ambientes Virtuales.

Identificar las Principales Vulnerabilidades

en Ambientes Virtuales.
 OBJETIVOS ESPECFICOS

Determinar los Niveles de Seguridad en

Ambientes Virtuales que Prevengan
Accesos no Autorizados sin sacrificar su
rendimiento.

Identificar Caractersticas y Mtricas que

permitan Evaluar los Niveles de Seguridad
de Ambientes Virtuales.
 MARCO TERICO

Vulnerabilidad
Vulnerabilidad
Bases
Bases de
de la
la
Seguridad
Seguridad dede es
es de
de un
un Pruebas
Pruebas de
de
Modelo
Modelo PDCA
PDCA seguridad
seguridad Ethical
Ethical Hacking
Hacking
la
la Informacin
Informacin sistema
sistema penetracin
penetracin
Informtica
Informtica informtico
informtico
 MARCO TERICO
Seguridad de la informacin
 MARCO TERICO
Modelo PDCA
 MARCO TERICO
Bases de la seguridad informtica
 MARCO TERICO
Vulnerabilidades de un sistema informtico
Vulnerabilidad: definicin
y clasificacin

Herramientas

Polticas de seguridad

Amenazas

Normas relacionadas
 MARCO TERICO
Vulnerabilidad: definicin y clasificacin
Se define Vulnerabilidad como debilidad de
cualquier tipo que compromete la
seguridad del sistema informtico, se
clasifica en funcin de:

Diseo
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficiente e inexistente
Implementacin
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
 MARCO TERICO
Vulnerabilidad: definicin y clasificacin
Uso
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y
de los responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
 MARCO TERICO
Vulnerabilidad: definicin y clasificacin
Vulnerabilidad del da cero
Se incluyen en este grupo aquellas vulnerabilidades para
las cuales no existe una solucin conocida, pero se sabe cmo
explotarla
 MARCO TERICO
Vulnerabilidad: definicin y clasificacin

Vulnerabilidades conocidas
Desbordamiento de buffer

Condicin de carrera (race condition)

Cross Site Scripting (XSS).

Denegacin del servicio.

Ventanas engaosas (Window Spoofing).

 MARCO TERICO
Herramientas
Nessus, es de arquitectura
cliente-servidor OpenSource,
con una base de datos de
patrones de ataques que
ayuda a localizar sus
vulnerabilidades.
 MARCO TERICO
De qu se quiere proteger el sistema informtico?
 MARCO TERICO
De qu se quiere proteger el sistema informtico?
 MARCO TERICO
Polticas de seguridad

La poltica de seguridad es elaborada e

implementada en base a normativas que cubren
reas ms especficas y una serie de
mecanismos de seguridad para la proteccin del
sistema.

Esquemticamente la
poltica de seguridad se
compone de:
 MARCO TERICO
Amenazas
De forma general se puede
agrupar las amenazas en:
Amenazas fsicas
Amenazas lgicas

Estas amenazas, tanto fsicas

como lgicas, son materializadas
bsicamente por:
Las personas
Programas especficos
Catstrofes naturales
 MARCO TERICO
Normas relacionadas

ISO/IEC 27001: provee los requisitos necesarios para

implementar la gestin de la seguridad de la informacin
en una organizacin ya sea con o sin fines de lucro, privada
o pblica, pequea o grande.
 MARCO TERICO
Normas relacionadas

ISO 27002 es una gua de buenas prcticas para en distintos

mbitos conocer qu se puede hacer para mejorar la
seguridad de la informacin. Se enfoca en la Seguridad de la
Informacin, Proteccin de Datos Personales y
Responsabilidad Social.
 MARCO TERICO
Normas relacionadas

La norma ISO 31000 para la gestin de riesgos se

estructura en tres elementos claves:

Principios de la gestin de riesgos

Marco de trabajo para la gestin de riesgos
Proceso de gestin de riesgos
 MARCO TERICO
Normas relacionadas

La norma ISO 31000

 MARCO TERICO
Ethical Hacking
Es importante verificar y evaluar las seguridades fsicas y lgicas
de redes, aplicaciones web, bases de datos, servidores, etc., y esto
se logra con el Ethical Hacking (hackeo tico), que consiste en
verificar las vulnerabilidades existentes en el sistema de inters
valindose de test de intrusin.
 MARCO TERICO
Ethical Hacking: Pruebas de penetracin
Estas pruebas permiten:
Evaluar vulnerabilidades a travs de la identificacin de
debilidades provocadas por una mala configuracin de las
aplicaciones.
Analizar y categorizar las debilidades explotables, con base al
impacto potencial y la posibilidad de que la amenaza se
convierta en realidad.
Proveer recomendaciones en base a las prioridades de la
organizacin para mitigar y eliminar las vulnerabilidades y as
reducir el riesgo de ocurrencia de un evento desfavorable.
 MARCO TERICO
Ethical Hacking: Pruebas de penetracin
Fases de pruebas de penetracin:
Recopilacin de informacin
Descripcin de la red
Exploracin de los sistemas
Extraccin de informacin
Acceso no autorizado a informacin sensible o crtica
Auditora de las aplicaciones web
Elaboracin de informes
Informe final
 MARCO TERICO
Ethical Hacking: Tipos Pruebas de penetracin
Pruebas de penetracin con objetivo
Pruebas de penetracin sin objetivo
Pruebas de penetracin a ciegas
Pruebas de penetracin informadas
Pruebas de penetracin externas
Pruebas de penetracin internas

Si el personal informtico conoce o no el desarrollo de las pruebas se

puede clasificar en dos modalidades:

Red Teaming: Es una prueba encubierta, slo un grupo selecto de

ejecutivos sabe de ella. Es ms real y no permite hacer cambios en
los niveles de seguridad de la organizacin.

Blue Teaming: El personal de informtica conoce sobre las pruebas.
Los usuarios deben estar alertados de manera que se eviten
situaciones de pnico y fallas en la continuidad del negocio.
 MARCO TERICO
Ethical Hacking: Tipos Pruebas de penetracin
A su vez, cada tipo de pruebas descritas anteriormente se
puede ubicar en tres modalidades:
 MARCO TERICO
Ethical Hacking: Metodologa de evaluacin

Etapa de descubrimiento
Rangos de direcciones IP asignados
Direcciones IP de servicios tercerizados
Direccin fsica de la empresa
Nmeros telefnicos
Nombres de personas y cuentas de correo
electrnico
Fuentes de informacin
Anlisis de la pgina WEB
Existencia de redes inalmbricas (WiFi)
 MARCO TERICO
Ethical Hacking: Metodologa de evaluacin
 MARCO TERICO
Metodologas de pruebas de penetracin

OWASP (Open Web Application Security Project)

OSSTMM (Open Source Security Testing Methodology Manual)
ISSAF (Information Systems Security Assessment Framework)
 ANLISIS Y EVALUACIN DE HERRAMIENTAS DE
PRUEBAS DE PENETRACIN EN AMBIENTES VIRTUALES
Metodologa NIST SP 800-115 (Technical Guide to Information
Security Testing and Assessment)
 ANLISIS Y EVALUACIN DE HERRAMIENTAS DE
PRUEBAS DE PENETRACIN EN AMBIENTES VIRTUALES
ISSAF (Information
Systems Security
Assessment
Framework):
 ANLISIS Y EVALUACIN DE HERRAMIENTAS DE
PRUEBAS DE PENETRACIN EN AMBIENTES VIRTUALES
OSSTMM: Manual de metodologa abierta para pruebas de
seguridad
 ANLISIS Y EVALUACIN DE HERRAMIENTAS DE
PRUEBAS DE PENETRACIN EN AMBIENTES VIRTUALES
 ANLISIS Y EVALUACIN DE HERRAMIENTAS DE
PRUEBAS DE PENETRACIN EN AMBIENTES VIRTUALES

Herramientas para pruebas de penetracin segn Publicacin

especial 800-115 de NIST

Nessus: Herramienta de seguridad "Open Source, es un escner

de seguridad remoto para Linux, BSD, Solaris y Otros Unix. Est
basado en plug-in(s), tiene una interfaz basada en GTK, y realiza
ms de 1200 pruebas de seguridad remotas.
Ethereal: herramienta de libre uso, analizador de protocolos de
red para Unix y Windows en una red viva o de un archivo de
captura en algn disco.
Snort: es una herramienta que permite detectar intrusiones en
una red de poco peso para el sistema, realiza anlisis de trfico en
tiempo real y registro de paquetes en redes con IP.
 ANLISIS Y EVALUACIN DE HERRAMIENTAS DE
PRUEBAS DE PENETRACIN EN AMBIENTES VIRTUALES
SNORT, es un sistema conocido que verifica que paquetes de una
red resultan sospechosos, para ello emplea una base de datos de
reglas que verifican el contenido y los formatos de cabecera de los
paquetes de datos.
 PROPUESTA METODOLGICA PARA REALIZAR PRUEBAS
DE PENETRACIN EN AMBIENTES VIRTUALES
No existe ninguna metodologa que se ajuste a algn trabajo especfico,
sin embargo como resultado de este trabajo investigativo se proporciona
una metodologa detallada para realizar pruebas de penetracin en
ambientes virtuales.

Planificacin
Planificacin y
y preparacin
preparacin Informe,
Informe, limpieza
limpieza y
y
de
de la prueba de
la prueba de EJecucin
EJecucin destruccin
destruccin de
de objetos
objetos
penetracin
penetracin
PROPUESTA METODOLGICA PARA REALIZAR PRUEBAS
DE PENETRACIN EN AMBIENTES VIRTUALES
Planificacin y preparacin de la prueba de
penetracin
Antecedentes de la organizacin
Obtener los permisos necesarios para la participacin del equipo
en las pruebas de penetracin.
Recepcin de informes de pruebas de penetracin realizados
anteriormente.
Acordar la no divulgacin de la informacin.
Es recomendable contar con un asesor jurdico que entienda el
manejo de documentos legales en trminos de tecnologa de la
informacin.
Descripcin detallada de:
Herramientas que se utilizarn en las pruebas de penetracin.
Requisitos de hardware y software para la ejecucin de pruebas
de penetracin.
Fechas exactas del desarrollo de ejecucin y entrega de informes
finales.
PROPUESTA METODOLGICA PARA REALIZAR PRUEBAS
DE PENETRACIN EN AMBIENTES VIRTUALES
Ejecucin

Recoleccin de Informacin
Mapeo de la red de trabajo
Identificacin de vulnerabilidades
Penetracin
Obtener Acceso y escalada de privilegios
Enumeracin de objetivos
Comprometer usuarios remotos y sitios
Mantener Acceso
Cubrir pistas
PROPUESTA METODOLGICA PARA REALIZAR PRUEBAS
DE PENETRACIN EN AMBIENTES VIRTUALES

Informe, limpieza y destruccin de informacin

Informes
Limpieza y destruccin de la informacin
 CONCLUSIONES

Una prueba de penetracin permite evaluar de manera

planificada y en tiempos establecidos la proteccin de los
sistemas de informacin de una organizacin.

Con el anlisis del marco terico se evidenci la realidad

del Ecuador y el mundo en la cantidad de vulnerabilidades
de los sistemas de informacin, as como los robos y
fraudes en las redes sociales.

Segn Publicacin especial 800-115 de NIST la

herramienta evaluada muestra como esta alcanza eficaz y
eficientemente los objetivos relacionados con la deteccin
de vulnerabilidades en sistemas de informacin.
 CONCLUSIONES

Con el anlisis de las diferentes metodologas y herramientas se

identificaron las principales vulnerabilidades que se pueden
presentar en ambientes virtuales en base los niveles de
seguridad que previenen accesos no autorizados sin sacrificar el
rendimientos de los sistemas de informacin.

La metodologa OSSTMM se enfoca en base a las polticas de

seguridad, cuyas caractersticas no cubren otras metodologas
como la existencia de los controles de seguridad y la
indemnizacin de los activos de informacin.

La metodologa ISSAF, est orientada principalmente a cubrir los

procesos de seguridad y la evaluacin de los mismos para as
obtener un panorama completo de las vulnerabilidades
existentes.
 CONCLUSIONES

La metodologa del NIST, indica el proceso general de cmo llevar

a cabo una prueba de intrusin y trata de cubrir todos los
aspectos informticos y humanos que tienen contacto con la
informacin de las organizaciones, pero se puede complementar
en forma prctica.

Al analizar el costo/beneficio de una herramienta, se puede

determinar que una herramienta gratuita proporciona la misma
funcionalidad que una privada.

La Metodologa propuesta contribuyo para que todas personas

que realizan trabajos relacionados con las evaluaciones de
seguridad, realicen pruebas de penetracin de manera planificada
y obtengan resultados confiables que beneficien a la organizacin.
 RECOMENDACIONES
Definir una herramienta de pruebas de penetracin en base a la
metodologa propuesta, que permita identificar de manera
oportuna los posibles puntos vulnerables que pueden poner en
riesgo la informacin de la organizacin. Esto evitar sacrificar el
desempeo o disponibilidad de los sistemas de informacin que
sean parte de la prueba de penetracin.

Las personas encargadas de realizar pruebas de penetracin

deben contar con suficientes conocimientos legales, que
permitirn alcanzar los objetivos trazados en base al
cumplimiento de la ley.

Una vez concluida las pruebas de penetracin, es importante

desarrollar una matriz en la que se describa todos los puntos
crticos encontrados, de manera que ayuden eficiente y
oportunamente al establecimiento de acciones que permitan
precautelar la informacin de la organizacin.
GRACIAS POR SU
ATENCIN!!