Introducción al pentesting a redes

1

Pruebas de Penetración en Redes: Exploit y Mitigación

2

Configuración de Redes Virtuales con VirtualBox

3

Seguridad en Redes: Técnicas Avanzadas de Pentesting

4

Configuración y Funcionamiento de Servidores DHCP en Redes Locales

5

Configuración de Protocolos de Enrutamiento Dinámico en Redes

6

Configuración de RIP en Quagga para Redes IPv4 en Linux

7

Configuración de Protocolo RIP en Redes Simuladas

8

Configuración de N Add para traducción de direcciones IP

9

Traducción de Direcciones IP: NAT y su Aplicación Práctica

10

DNS: Obtención de Subdominios con Herramientas de Seguridad

Ataques a protocolos de red

11

Ataques de Ingeniería Social en Seguridad Informática

12

Ataques DNS: Redirección y Manipulación en Redes Locales

13

Ataques Hombre en el Medio usando DHCP Spoofing

14

Creación de Paquetes Personalizados con Scapy en Python

15

Monitoreo de Tráfico y Alteración de Redes con RIPv2

16

"Configuración de Interfaces en Redes Ficticias con Domi"

17

Análisis de Vulnerabilidades en Redes con NAT y Explotación de Puertos

18

Inyección de Datos en Redes Internas: Estrategias y Precauciones

Ataques de ingeniería social

19

Falsificación de Sitios Web para Captura de Credenciales

20

Ingeniería Social con SET: Ataques y Captura de Credenciales

21

"Uso de Metasploit para Ofuscación y Ejecución de Exploits"

22

Técnicas de Ataque de Clonación y Redirección Web con SET

Ataques de denegación de servicio

23

Ataques de Denegación de Servicio: Estrategias y Mitigación

24

Ataques de Denegación de Servicio con Hping3 en Kali Linux

25

Ataques de Denegación de Servicio: Estrategias y Ejecución

26

Ataques DDoS: Uso de Herramientas Comunes y Medidas Preventivas

27

Ataques de Denegación de Servicio: Estrategias y Herramientas

Ataques a redes inalámbricas

28

Intercepción de Tráfico y Contraseñas en Redes WiFi Seguras

29

Auditoría de Redes WiFi: Configuración y Monitoreo Avanzado

30

Obtención de Contraseñas WiFi con Aircrack y Airodump

31

Cifrado WPA2: Captura y Desencriptación de Contraseñas Wi-Fi

Conclusiones, creación de informe y bibliografía

32

Explotación de Vulnerabilidades en Protocolo DNS

33

Seguridad Informática: Análisis de Vulnerabilidades Red y Criptografía

Crea una cuenta o inicia sesión

¡Continúa aprendiendo sin ningún costo! Únete y comienza a potenciar tu carrera

Seguridad en Redes: Técnicas Avanzadas de Pentesting

3/33
Recursos

¿Cómo se organiza el proceso de pentesting?

Al iniciar un proceso de pentesting, es crucial tener claros sus fundamentos y las etapas que lo componen. Es un proceso que debe ser legal y autorizado, especialmente al considerar la infraestructura y red de la organización auditada. Todo comienza con la recopilación de información y debe llevarse un registro detallado de cada acción para facilitar la elaboración de reportes luego.

¿Cuáles son las etapas del pentesting?

  1. Reconocimiento: Se recopila información general sobre la organización a partir de fuentes públicas. En cursos anteriores se vio cómo hacer esto, y en este curso se profundizará en el análisis del protocolo DNS para obtener más datos en esta etapa.

  2. Escaneo: Se identifica cómo funcionan los protocolos o las estructuras de red, viendo qué se puede aprovechar.

  3. Explotación: Consiste en los ataques propiamente dichos, buscando acceder a los sistemas vulnerables.

  4. Post-Explotación: Se usa el sistema comprometido para acceder a otros sistemas. Esta etapa puede ser utilizada tanto en la explotación inicial como después, usando sistemas ya comprometidos como punto de partida para nuevos ataques.

¿Cómo manejar la legalidad y la ética del pentesting?

La legalidad en el pentesting es de suma importancia debido a la interacción con activos críticos de una organización. Antes de realizar cualquier prueba, especialmente aquellas más intrusivas, como un ataque de denegación de servicio, se debe contar con la autorización explícita del cliente y asegurarse de que este comprenda los riesgos involucrados.

Asimismo, se debe recordar que el objetivo final es mejorar la seguridad de los sistemas de información y no generar daños. Cualquier hallazgo debe convertirse en recomendaciones de mejora tangible para la organización.

¿Cómo se identifica y explota vulnerabilidades en redes?

Las vulnerabilidades a nivel de red no son siempre evidentes a través de análisis automatizados como OpenVAS o Nmap, ya que muchas son específicas de protocolos. En este curso se enfatiza que el enfoque cambiará a un análisis más detallado y dirigido a las características propias de cada protocolo.

¿Qué es el pivoteo en pentesting?

El pivoteo es una técnica que permite usar una máquina comprometida dentro de un segmento de red como base para explorar o atacar otros sistemas conectados en esa misma red. Este proceso no es lineal, y las redes modernas conectan varios segmentos a través de enrutadores, lo que ofrece caminos diversos para llegar a diferentes dispositivos dentro de la red.

Para aprovechar estas redes complejas, se realizará un análisis de los protocolos que las hacen funcionar, buscando oportunidades de explotación en esa intrincada arquitectura.

Este enfoque, junto con una documentación meticulosa de todo el proceso, es clave para asegurar no sólo la maximización de la seguridad de la infraestructura digital de la organización, sino también para mantener la integridad y legalidad del análisis realizado.

Aportes 12

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

  • Reconocimiento
  • Escaneo
  • Explotacion
  • Post-explotacion
    Y si hay suerte se repite el proceso 😉

Podrían haberme avisado durante el curso de Fundamentos de Pentesting, que no debía eliminar el laboratorio, jejejeje, ahora a configurar todo de nuevo y algunas herramientas como openvas toman su tiempo, no se si lo utilizaremos pero mejor la voy configurando. Por otra parte, que genial otra vez con Juan Pablo

Fases de un pentesting

  • Fase de recolección de información.
  • Fase de Búsqueda de vulnerabilidades.
  • Fase de Explotación de vulnerabilidades.
  • Fase Post-explotación.
  • Fase de Informe.

Cuando hablamos de usar maquinas ya comprometidas dentro de las fases del pentesting, también se le conoce como lateralización, ya que una vez logrado explotar la vulnerabilidad, primero debemos asegurar nuestra permanencia en el sistema, y buscar seguir escalando privilegios lateralizando a otros servidores una vez dentro de la red, hasta llega a nuestro objetivo, con ello es simplemente mantener el acceso y limpiar huellas que también se puede incluir esto en la fase de Pos Explotacion.

Pivoting
Con una maquina externa se puede atacar un segmento de red que tiene varias maquinas conectadas, el pivoting consiste en lograr comprometer una de las maquinas y usarla como punto de partida para explotar las otras maquinas que estan en ese segmento de red

Siendo totalmente respetuoso con el profesor, me gustaría agregar que las etapas del PenTesting no son 4, sino 5:

  • Reconocimiento
  • Escaneo/enumeración
  • Explotación
  • Conservación de acceso (se puede considerar post-explotación): Se debe garantizar que el acceso al objetivo sea constante, para no repetir pasos cada vez que el objetivo se reinicie o la conexión se pierda)
  • Ocultación o Covering: Si bien, el pentesting se debe realizar con permiso, se debe cubrir toda evidencia de acceso y/o rastreo hacia nosotros. No tiene sentido ingresar a una red, si dejamos un log que muestra todo lo que hicimos y desde donde lo hicimos. Se debe tener presente que, cada puerta que abramos, es una puerta que se abre para los dos lados.

Hola, necesito ayuda, quiero hacer actualizaciones o instalara módulos en mi Kali linux y no lo consigo, estoy usando la versión 2020.2 descargando el archivo .ova de la página oficial, y al momento de querer hacer el sudo apt update me da el siguiente error:

![](<a href=“https://ibb.co/hcVDB7Z”><img src=“https://i.ibb.co/r3H4x7c/error-linux.jpg” alt=“error-linux” border=“0”></a>)

Espero la ayuda del profe o de otro estudiante, muchas gracias

Si que se esta poniendo interesante y yo que estoy dudoso con las instalacion en virtual box

En las lecturas hay varios enlaces rotos o error 404.

La razón para hacer un Pentesting es la de mejorar la seguridad de los sistemas de información , de nada sirve demostrar que se puede vulnerar un sistema si detras de ello no se muestran ni explican las medidas preventivas correspondientes , es tiempo y dinero tirado a la basura

Excelente Juan.