¿El ISP detecta y bloquea las herramientas de prueba de la pluma?

6

Soy uno de los libros más antiguos que leí sobre seguridad: conceptos básicos de piratería informática y pruebas de penetración (978-0124116443); el autor enfatizó que no puede usar estas herramientas de prueba de penetración a través de Internet, ya que algunos de los ISP monitorean el uso de dichas herramientas y bloquearán el acceso a su internet si creen que las está utilizando.

Si esto es cierto, esta es una joya de consejo. Pero la razón por la que estoy cuestionando esto es porque en ningún otro libro que leí esto fue mencionado casualmente. Así que mis preguntas son,

  • ¿Es correcto este consejo? ¿Alguien tendrá su conexión a internet? bloqueado por el uso de herramientas pentesting en internet autorización del propietario del sitio web)?
  • ¿Existen soluciones alternativas, como ejecutar la prueba del lápiz remoto desde, por ejemplo, un host en la nube?
pregunta Yazad Khambata 04.08.2015 - 04:48
fuente

3 respuestas

3

En primer lugar, hay una diferencia entre realizar una prueba de penetración y una exploración automatizada (frutos colgados) donde las exploraciones automáticas generan mucho tráfico.

Luego hay una diferencia entre la infraestructura y las pruebas de penetración de aplicaciones (web) y luego depende del tipo de prueba:

  • caja negra
  • Caja gris
  • caja blanca

Pruebas de penetración de infraestructura

Para las pruebas de penetración de infraestructura, puedo ver dónde un Black Box PT podría ponerle en problemas con su ISP. En mi opinión, nunca debe recomendar este tipo de prueba a sus clientes porque es posible que no obtenga nada de ello.

Si bien con un enfoque de caja gris o blanca puede analizar lo que podría haber hecho un atacante si no se proporcionara información (por ejemplo, enfoque de caja negra)

Pruebas de penetración de aplicaciones

Para las pruebas de penetración de aplicaciones (web), esto se realiza manualmente, lo que significa que debe considerarse tráfico "normal". Si un ISP bloquea su conexión, es probable que estén usando DPI (Deep Packet Inspection) pero esto se considera ilegal en algunos países.

He realizado cientos de pruebas de penetración desde la conexión a Internet de mi hogar y nunca he sido advertido o bloqueado por mi ISP. (Incluso cuando se realizan herramientas de escaneo automatizadas como Nessus y Acunetix)

En definitiva, creo que las pruebas de penetración pueden ejecutarse sin ser bloqueadas, pero eso es por mi propia experiencia.

    
respondido por el Jeroen - IT Nerdbox 04.08.2015 - 06:18
fuente
1

la mayoría de los ISP tendrán algunas medidas de seguridad para proteger su propia infraestructura (en su mayoría, dispositivos OSI L3, L2 y DNS)

por lo tanto, si su prueba de pluma involucra estas infraestructuras anteriores, es muy probable que el ISP lo note.

La mejor solución es la de @ schroeder ♦: usar una VPN.

    
respondido por el JOW 04.08.2015 - 15:25
fuente
1

De hecho, también he cruzado este consejo en algunos otros libros, pero esto fue más un consejo legal que técnico.

Si está utilizando un acceso a Internet personal (las ofertas empresariales tienen menos probabilidades de ser cerradas por el ISP) y / o si no tomó la medida legal adecuada en relación con su actividad de pruebas de penetración (contrato firmado, todos los involucrados persona debidamente informada, etc.), entonces tiene problemas con su ISP:

  • O bien debido a la actividad anormal generada desde su línea,
  • O porque comenzarán a acumular informes de abuso provenientes de sus objetivos.

De cualquier manera, es probable que su conexión a Internet se apague y que tenga que suscribirse a otro ISP (de nuevo, tal medida directa probablemente afectará el acceso personal a Internet que a las corporaciones donde el ISP mostrará más atención antes perdiendo un cliente).

    
respondido por el WhiteWinterWolf 05.08.2015 - 14:33
fuente

Lea otras preguntas en las etiquetas