¿En qué fases consiste una prueba de penetración de red?

1

¿Cuáles son las fases comunes de una prueba de penetración de infraestructura de red?

¿Comenzando a descubrir IP's y puertos? ¿Una evaluación de vulnerabilidad simple, que verifique la información de la versión de los banners de diferentes servicios en diferentes puertos en comparación con las bases de datos CVE (como)? ¿Comprobar la disponibilidad desde fuera de la red? ¿Comenzar a monitorear el tráfico de la red por algún tiempo usando sniffing?

Con el propósito de obtener una visión general de posibles problemas de seguridad y vulnerabilidades con respecto a la infraestructura y configuración de la red.

    
pregunta Bob Ortiz 14.07.2016 - 19:21
fuente

2 respuestas

3

Cuando realizo pruebas de penetración, mis objetivos van más allá de encontrar puertos abiertos, a encontrar "información" que pueda usarse para obtener acceso o impactar negativamente en la compañía. Si solo se enfoca en los puertos (servicios) o la información de CVE, es probable que se pierda los indicadores comunes y la información que un atacante no se perderá. Generalmente mis pruebas de penetración, comienzan como evaluaciones de vulnerabilidad:

  1. NMAP / Unicorn Scan (herramientas de mapeo de red)
  2. Nessus / OpenVAS (exploradores de vulnerabilidades)
  3. Computadora portátil separada que ejecuta Wireshark + Servicio de respuesta de SpiderLabs

El mapeo de la red puede pintar una imagen decente, pero un escaneo NMAP listo para usar no producirá tanta información como, por ejemplo, un escaneo Nessus / OpenVAS, que puede mostrar recursos compartidos abiertos. Un primer día típico puede incluir nada más que descubrimiento (análisis de arp, análisis de nmap, análisis de vulnerabilidad) para que pueda crear una superficie de ataque.

Una vez que se construye una superficie de ataque, el trabajo se divide en automatización y verificación manual. Nunca ejecutaré un exploits contra una vulnerabilidad, donde ese exploit puede desencadenar una denegación de servicio. Derrota el propósito, mientras que puedo documentar: "las vulnerabilidades están disponibles, sin embargo, no se ejecutaron debido a una denegación de servicio" Hago entender esto al cliente: "La puerta está abierta, el atacante entrará, no lo hicimos porque lo haríamos causar el caos ".

Para servicios, tomo servidores HTTP + HTTPS y los envío para que se prueben usando Nikto, Wikto, Burpsuite y AppScan. Enjuague y revise, espere la salida, analice los datos y vaya desde allí. Para servicios en dispositivos específicos (por ejemplo, SSH en un conmutador de Cisco), intentaré una fuerza bruta SOLAMENTE para las 50 contraseñas principales. Hay una razón para esto: necesito verificar si tengo acceso a INTRODUCIR para realizar un cambio y si I (como atacante) será bloqueado después de N intentos. No es necesario que vaya más allá de los diez primeros, ya que puedo redactarlo correctamente: "El atacante tiene la capacidad de forzar repetidamente la fuerza bruta del dispositivo sin marcar. Debido a la cantidad de tiempo en este compromiso, verificamos 50 contraseñas principales ... "De nuevo, no tiene sentido atacar con, por ejemplo, la lista de contraseñas de RockYou. La realidad es que, dado el tiempo suficiente para que un atacante pueda forzar la contraseña ... No se les está bloqueando el intento.

La información es el rey. Por ejemplo, en muchas exploraciones de Nessus, siempre miro los datos informativos. A menudo encuentro que veré algo como "NFS Share World Readable" donde puedo eliminarme de un dominio, montar un recurso compartido, y he aquí que muchas veces he obtenido acceso a archivos PST, material confidencial de la compañía. ¿Qué crees que es más crítico para el negocio? Le dice a un cliente: "Cero pasé tu puerta de enlace SRX (que no puedes arreglar, pero tendrás que depender de un proveedor) en comparación con: pude montar 10.10.10.2: /backups/CEO/backup.pst "

No estoy de acuerdo con el comentario de verificación de la pancarta en lo que antecede, ya que se supone que las organizaciones bajo algunos mandatos crean sus propias pancartas: "El uso restringido de cualquier persona será procesado", sin mencionar que es fácil para el NMAP lanzar una gran cantidad de falsos positivos Para la toma de huellas dactilares, confiaré en p0f .

A menudo busco relés internos, ya que es más fácil omitir los filtros de correo no deseado, y puedo enviar un correo electrónico de phishing a un empleado para probar varias cosas: 1) Conocimiento de los empleados (¿abrieron el correo electrónico?) 2) Mitigaciones tecnológicas ( filtros de correo no deseado) 3) Administración de parches (si mis datos adjuntos tienen lados del cliente en comparación con IE8.0 se activaron)

Le sugiero que consulte Estándar de Ejecución de Pruebas de Penetración para obtener más información que lo ayude con su pregunta. Habrá múltiples respuestas a esta pregunta, pero también se está usando la experiencia para comenzar a encadenar ataques. P.ej. por lo que encontró un recurso compartido nulo contra una máquina Windows. Toma la salida y crea una lista de usuarios (ya que algunos escaneos nulos obtendrán esto para ti), crea una lista de redes que no conoces (obtenida de, digamos, un snmpwalk público), encadénalas con una contraseña superior de 50 bruteforce contra decir una impresora, compartir, etc.

---- (Agregado)

También tome nota, antes de ejecutar cualquier herramienta, si puede conectarse a una red y ver el tráfico, eso es un hallazgo (no hay control de acceso a la red). Si puede ejecutar Wireshark y Responder, más resultados. Hay mucho que hacer fuera de disparar nmap, Nessus, Metasploit, etc. La información debe analizarse lo mejor posible, y dicho esto, la experiencia es la herramienta más grande que tendrá en su arsenal

    
respondido por el munkeyoto 22.07.2016 - 14:35
fuente
1

Además de las referencias de libros que quedan en mi comentario, creo que puede establecer lo siguiente como sus pasos de alto nivel.

  1. OSINT (incluye reconocimiento en la empresa, reconocimiento de registros DNS, etc.)
  2. exploraciones de IP
  3. Banner que comprueba las vulnerabilidades
  4. exploraciones de aplicaciones web y amp; pruebas (Burp, Nikto, etc)
  5. Ingeniería social de los empleados
  6. Escalamiento de privilegios (si es necesario porque se adquirió un acceso limitado desde el servidor comprometido)
  7. Comprobación de la seguridad de la contraseña (fuerza bruta, comparación con contraseñas conocidas, comparar si la contraseña se encontraba en un volcado reciente)
  8. Movimiento lateral a través de una red / pivote / robo de credenciales de dominio

Dicho esto, sé que algunas empresas están adelantando todo el asunto de "romper el perímetro" en estos días porque la mentalidad es que "Spear Phishing siempre funciona". Los equipos rojos reciben un cuadro en la red, o un punto de entrada a través de otros medios, y hacen lo que pueden para trabajar lateralmente a través de su red y ver qué pueden comprometer.

No hace falta decir que cada red y prueba son diferentes, pero en general, los pasos mencionados anteriormente son lo que probablemente verá en la mayoría de las pruebas con lápiz.

EDIT

Recursos según lo solicitado (tenga en cuenta que no tengo ninguna afiliación con los libros, excepto que soy un feliz propietario de ambos). Mientras que cada una cubre gran parte del mismo terreno, cada una de las secciones que la otra no.

respondido por el DKNUCKLES 14.07.2016 - 20:09
fuente