ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

SEGURIDAD EN REDES


Enviado por   •  8 de Enero de 2013  •  418 Palabras (2 Páginas)  •  437 Visitas

Página 1 de 2

Comprobación de la seguridad de los sistemas con un Test de intrusión

Simulación de ataque informático para determinar su nivel de protección:

Cuando se quiere estudiar la seguridad de los sistemas que están accesibles desde Internet (servidores, routers, firewalls...) frente a un ataque, la mejor forma de estudiarlo es sometiéndose a un ataque pero controlado.

En este tipo de análisis además de descubrir las vulnerabilidades presentes en los equipos, se procede a la explotación de las mismas con el objetivo de evaluar las repercusiones reales de cada una de ellas y su peligrosidad específica en su entorno. Con ese objetivo los auditores de A2SECURE configuran y realizan una batería de tests sobre los equipos del cliente. El proyecto se realiza con los métodos OWASP y OSSTMM.

Los tests de intrusión se puede realizar de tres maneras:

Características del Test de caja negra:

El concepto principal de un test de caja negra es simular los métodos de ataque de un hacker con sus mismos recursos. El auditor sólo dispone de información pública sobre el objetivo, y a través de esta intenta identificar los agujeros de seguridad que puedan comprometer información sensible o las operaciones del sistema. Cuando se aplica correctamente este test, se puede simular no sólo ataques de hackers al azar, sino también de hackers que se dedican a obtener algún acceso inicial al sistema.

Este test imita lo que un verdadero hacker haría, y proporciona al cliente una evaluación realista del nivel de riesgo al que está expuesto el sistema. Si el auditor puede identificar alguna vulnerabilidad a través de este test es probable que un hacker también pueda identificarla.

Pros:

1. Proporciona una estimación real de las amenazas.

2. Obtiene los resultados a través de la información pública.

3. Requiere un esfuerzo mínimo del cliente.

Contras:

1. Puede ser un esfuerzo recopilar la información.

2. Pueden pasar desapercibidas puertas traseras o vulnerabilidades parciales.

3. Las recomendaciones para reparar fallos son generales.

Pruebas realizadas con esta metodología:

1. Pruebas de Penetración de Infraestructura/Red.

2. Pruebas de Penetración de Aplicaciones.

3. Ataque simulado completo.

Técnicas de caja negra:

• Vulnerabilidades de tipo 'deface';

• Vulnerabilidades de tipo 'cross-site scripting';

• Vulnerabilidades de tipo 'spoofing';

• Vulnerabilidades de tipo inyección de SQL;

• Vulnerabilidades de tipo inyección de código;

• Vulnerabilidades derivadas de la validación de entrada / salida;

• Vulnerabilidades derivadas del análisis de tiempos;

• Vulnerabilidades de sincronización;

• Vulnerabilidades de tipo desbordamiento

...

Descargar como (para miembros actualizados) txt (3 Kb)
Leer 1 página más »
Disponible sólo en Clubensayos.com