SlideShare une entreprise Scribd logo

2. evaluacion de vulnerabilidades

Jose Peña
Jose Peña
Ingénierie
1  sur  14
Evaluación de vulnerabilidades
Evaluación de vulnerabilidades Evaluación de vulnerabilidades vs. Penetration test Hay mucha confusión entre lo que es una evaluación de vulnerabilidades y el penetration test Como pentester es tu responsabilidad entender las necesidades del cliente y apartir de ahi aconsejarle y entregarle la solución más apropiada cuando el cliente no tiene las herramientas y el conocimiento necesario para tomar la decisión correcta.
Evaluación de vulnerabilidades Una evaluación de vulnerabilidades es un estudio de todas las vulnerabilidades que se encuentran dentro de un red o en la aplicacion de nuestro cliente La principal diferencia con un test de penetración es que no vamos a proceder con la fase de explotación, simplemente vamos a entregar pruebas de que existe vulnerabilidades dentro de cada sistema
Evaluacion de vulnerabilidades Evaluar vulnerabilidades Escribir la lista de vulnerabilidades Encontrar o programar un exploit por cada vulnerabilidad que encontremos Explotar la o las vulnerabilidades Encontrar mas hosts/ elavar privilegios También debemos tomar en cuenta que la evaluación de vulnerabilidades es una de las fases más delicadas en el test de penetración, en algún punto del test el penetration tester querra construir una lista de las vulnerabilidades encontradas para después ir a través de cada vulnerabilidad tratando de explotarlas
Evaluación de vulnerabilidades Cada vulnerabilidad explotada puede proveer más privilegios al pentester o puede encontrar un acceso a toda una nueva red que no habia detectado anteriormente Una vez que se detecta una nueva red el proceso siguiente será una nueva evaluación de vulnerabilidades de esta nueva red encontrada y eventualmente procederá a la explotación de esta red
Evaluación de vulnerabilidades Claramente podemos decir que un test de penetración es mucho más completa en términos de vulnerabilidades descubiertas en comparación con una evaluación de vulnerabilidades. Por otra parte, si no hay una fase real de explotación, una evaluación de vulnerabilidad falla cuando se determina si hay amenazas reales y sobre todo que tan críticas son las fallas. Una evaluación de vulnerabilidades usualmente toma menos tiempo y una carga más ligera de las infraestructuras críticas de los clientes, por lo tanto, se aconseja exponer las vulnerabilidades en entornos de producción, cuando una prueba de penetración sería demasiado invasiva
Evaluación de vulnerabilidades Herramientas para la evaluación de vulnerabilidades: Las evaluaciones de vulnerabilidades puede ser remotas o locales Una evaluación remota de vulnerabilidad usualmente se hace por medio del uso de un escáner de vulnerabilidades. Estos escáneres son herramientas que usan una base de datos que contiene información acerca de vulnerabilidades conocidas o auditorias de seguridad para descubrir las vulnerabilidades de los sistemas remotos
Evaluación de vulnerabilidades Es responsabilidad del fabricante mantener la herramienta actualizada con las ultimas vulnerabilidades conocidas. Entre más actualizada está la base de datos, tendremos mejores y más relevantes resultados. La herramienta más completa en escáneres de vulnerabilidades es Nessus desarrollada por Tenable Network. Otras escaners de vulnerabilidades populares son: Openvas, eEye Retina, Saint, Gfi Languard.
Evaluación de vulnerabilidades Nessus es un escaner de vulnerabilidades fácil de usar y muy poderoso, tanto puede ser usado en compañias pequeñas como en enormes corporaciones. Nessus es gratuito con su licencia Home, para uso no comercial, cualquiera lo puede instalar y usarlo para asegurar su red local.
Evaluación de vulnerabilidades Cuando se instala nessus tenemos 2 componentes: un cliente y un servidor
Evaluación de vulnerabilidades El cliente es lo que tu ejecutarás para configurar el escaneo
Evaluación de vulnerabilidades El server es el componente que realmente realiza el escaneo y envia el reporte al cliente
Evaluación de vulnerabilidades Podemos ejecutar el cliente y el server en la misma computadora, de hecho es lo más comun ejecutar tanto el cliente como el server en la misma computadora
Evaluación de vulnerabilidades Estos son los pasos que las herramientas de escaneo de vulnerabilidades siguen: 1) Determinar cuales puertos estan abiertos. 2) Determinar que servicio está corriendo en cada puerto. 3) Busqueda de vulnerabilidades en la base de datos para encontrar vulnerabilidades en las versiones del servicio encontrado. 4) Envia exploraciones al sistema remoto para verificar que realmente si existe la vulnerabilidad detectada.

Recommandé

3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 NessusMeztli Valeriano Orozco
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Formato de practicas_de_laboratorio
Formato de practicas_de_laboratorioFormato de practicas_de_laboratorio
Formato de practicas_de_laboratorioMayra Jimena Huebla Ati
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And NmapVictor Guana
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesAlejandro Otegui
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesOier Ardanaz
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
Qué es un antivirus
Qué es un antivirusQué es un antivirus
Qué es un antivirusKeyti Ochoa
 

Recommandé

3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 NessusMeztli Valeriano Orozco
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Formato de practicas_de_laboratorio
Formato de practicas_de_laboratorioFormato de practicas_de_laboratorio
Formato de practicas_de_laboratorioMayra Jimena Huebla Ati
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And NmapVictor Guana
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesAlejandro Otegui
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesOier Ardanaz
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
Qué es un antivirus
Qué es un antivirusQué es un antivirus
Qué es un antivirusKeyti Ochoa
 
Antivirus
AntivirusAntivirus
Antivirusinfiesleonardo
 
Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1erwin leon castillo
 
Software
SoftwareSoftware
Softwarealexaflaquita
 
Capitulo2
Capitulo2Capitulo2
Capitulo2erikita Sol
 
Manejo de prtg network monitor
Manejo de prtg network monitorManejo de prtg network monitor
Manejo de prtg network monitorStalin Eduardo Tusa Vitar
 
Prtg network monitor
Prtg network monitorPrtg network monitor
Prtg network monitorStalin Eduardo Tusa Vitar
 
Antivirus
AntivirusAntivirus
AntivirusEdgar Haro
 
Prtg
PrtgPrtg
PrtgJose Luis Martin
 
Utilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitorUtilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitorRita Aguilar
 
Antivirus, seguridad, protección.
Antivirus, seguridad, protección. Antivirus, seguridad, protección.
Antivirus, seguridad, protección. Jonny Esquivel
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Alonso Caballero
 
Antivirus
AntivirusAntivirus
AntivirusYuliana Martinez
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al softwarecarmenrico14
 
Virus mariana rios
Virus mariana riosVirus mariana rios
Virus mariana riosluisa caceres de arismendi
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informáticoelperrojaime
 
Antivirus(1)1
Antivirus(1)1Antivirus(1)1
Antivirus(1)1Sharon Melisa Ortiz Oñate
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
Antivirus
AntivirusAntivirus
Antivirusmildred1980
 
Antivirus
AntivirusAntivirus
AntivirusReyna Alarcòn Flores
 
Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2Beth Kanter
 
Expo tpc ef extraordinarios
Expo tpc ef extraordinariosExpo tpc ef extraordinarios
Expo tpc ef extraordinariosAndreea C. Silva M
 

Contenu connexe

Tendances

Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1erwin leon castillo
 
Utilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitorUtilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitorRita Aguilar
 
Antivirus, seguridad, protección.
Antivirus, seguridad, protección. Antivirus, seguridad, protección.
Antivirus, seguridad, protección. Jonny Esquivel
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Alonso Caballero
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al softwarecarmenrico14
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informáticoelperrojaime
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 

Tendances (20)

Antivirus
AntivirusAntivirus
Antivirus
 
Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1Erwin leon castillo antivirus actividad3.1
Erwin leon castillo antivirus actividad3.1
 
Software
SoftwareSoftware
Software
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Manejo de prtg network monitor
Manejo de prtg network monitorManejo de prtg network monitor
Manejo de prtg network monitor
 
Prtg network monitor
Prtg network monitorPrtg network monitor
Prtg network monitor
 
Antivirus
AntivirusAntivirus
Antivirus
 
Prtg
PrtgPrtg
Prtg
 
Utilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitorUtilizacion de la herramienta PRTG Network monitor
Utilizacion de la herramienta PRTG Network monitor
 
Antivirus, seguridad, protección.
Antivirus, seguridad, protección. Antivirus, seguridad, protección.
Antivirus, seguridad, protección.
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
 
Antivirus
AntivirusAntivirus
Antivirus
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al software
 
Virus mariana rios
Virus mariana riosVirus mariana rios
Virus mariana rios
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
 
Antivirus(1)1
Antivirus(1)1Antivirus(1)1
Antivirus(1)1
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 

En vedette

Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2Beth Kanter
 
Wiki Presentation
Wiki PresentationWiki Presentation
Wiki PresentationBeth Kanter
 
Deel 1 waarom beschermen
Deel 1 waarom beschermenDeel 1 waarom beschermen
Deel 1 waarom beschermenSealer bvba
 
20151215 Company Profile Denkfaktur
20151215 Company Profile Denkfaktur20151215 Company Profile Denkfaktur
20151215 Company Profile DenkfakturSabine Kopsch
 
Deel 6 transport en verwerking
Deel 6 transport en verwerkingDeel 6 transport en verwerking
Deel 6 transport en verwerkingSealer bvba
 
Deel 2 natuursteen sedimentgesteente
Deel 2 natuursteen sedimentgesteenteDeel 2 natuursteen sedimentgesteente
Deel 2 natuursteen sedimentgesteenteSealer bvba
 
Deel 8 composiet en bescherming
Deel 8 composiet en beschermingDeel 8 composiet en bescherming
Deel 8 composiet en beschermingSealer bvba
 
UK Networked Nonprofit
UK Networked NonprofitUK Networked Nonprofit
UK Networked NonprofitBeth Kanter
 
April '16 - Recruiting, Onboarding & Mobile
April '16 - Recruiting, Onboarding & MobileApril '16 - Recruiting, Onboarding & Mobile
April '16 - Recruiting, Onboarding & MobileDana S. White
 
Facilitating data discovery & sharing among agricultural scientific networks
Facilitating data discovery & sharing among agricultural scientific networksFacilitating data discovery & sharing among agricultural scientific networks
Facilitating data discovery & sharing among agricultural scientific networksNikos Manouselis
 
EFY 2016 - Temple Prep for Teens, pt.2
EFY 2016 - Temple Prep for Teens, pt.2EFY 2016 - Temple Prep for Teens, pt.2
EFY 2016 - Temple Prep for Teens, pt.2Ben Bernards
 
Thwglobal presentation
Thwglobal presentationThwglobal presentation
Thwglobal presentationDevi Lal Verma
 
Scaling up food safety information transparency
Scaling up food safety information transparencyScaling up food safety information transparency
Scaling up food safety information transparencyNikos Manouselis
 

En vedette (19)

Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2Measuring the Networked Nonprofit - Session 2
Measuring the Networked Nonprofit - Session 2
 
Expo tpc ef extraordinarios
Expo tpc ef extraordinariosExpo tpc ef extraordinarios
Expo tpc ef extraordinarios
 
Wiki Presentation
Wiki PresentationWiki Presentation
Wiki Presentation
 
Deel 1 waarom beschermen
Deel 1 waarom beschermenDeel 1 waarom beschermen
Deel 1 waarom beschermen
 
20151215 Company Profile Denkfaktur
20151215 Company Profile Denkfaktur20151215 Company Profile Denkfaktur
20151215 Company Profile Denkfaktur
 
Deel 6 transport en verwerking
Deel 6 transport en verwerkingDeel 6 transport en verwerking
Deel 6 transport en verwerking
 
MS Society
MS SocietyMS Society
MS Society
 
Deel 2 natuursteen sedimentgesteente
Deel 2 natuursteen sedimentgesteenteDeel 2 natuursteen sedimentgesteente
Deel 2 natuursteen sedimentgesteente
 
10
1010
10
 
Deel 8 composiet en bescherming
Deel 8 composiet en beschermingDeel 8 composiet en bescherming
Deel 8 composiet en bescherming
 
UK Networked Nonprofit
UK Networked NonprofitUK Networked Nonprofit
UK Networked Nonprofit
 
April '16 - Recruiting, Onboarding & Mobile
April '16 - Recruiting, Onboarding & MobileApril '16 - Recruiting, Onboarding & Mobile
April '16 - Recruiting, Onboarding & Mobile
 
Python 3.x quick syntax guide
Python 3.x quick syntax guidePython 3.x quick syntax guide
Python 3.x quick syntax guide
 
Facilitating data discovery & sharing among agricultural scientific networks
Facilitating data discovery & sharing among agricultural scientific networksFacilitating data discovery & sharing among agricultural scientific networks
Facilitating data discovery & sharing among agricultural scientific networks
 
EFY 2016 - Temple Prep for Teens, pt.2
EFY 2016 - Temple Prep for Teens, pt.2EFY 2016 - Temple Prep for Teens, pt.2
EFY 2016 - Temple Prep for Teens, pt.2
 
Thwglobal presentation
Thwglobal presentationThwglobal presentation
Thwglobal presentation
 
Alaska PRSA
Alaska PRSAAlaska PRSA
Alaska PRSA
 
derecho constitucional comparado
derecho constitucional comparadoderecho constitucional comparado
derecho constitucional comparado
 
Scaling up food safety information transparency
Scaling up food safety information transparencyScaling up food safety information transparency
Scaling up food safety information transparency
 

Similaire à 2. evaluacion de vulnerabilidades

1. penetration testing
1. penetration testing1. penetration testing
1. penetration testingJose Peña
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Pentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentPentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentBest Practices
 
tipos de pruebas.
tipos de pruebas.tipos de pruebas.
tipos de pruebas.Juan Ravi
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesDaniel Fernandez Droniak
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Polo Perez
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0xavazquez
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetraciónDavid Thomas
 
Pruebas software (1)
Pruebas software (1)Pruebas software (1)
Pruebas software (1)René Pari
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesIñigo Asin Martinez
 
Cadex Assessment Scanner
Cadex Assessment ScannerCadex Assessment Scanner
Cadex Assessment ScannerCadextechnology
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirusXjabedmjX
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirusXjabedmjX
 

Similaire à 2. evaluacion de vulnerabilidades (20)

1. penetration testing
1. penetration testing1. penetration testing
1. penetration testing
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Pentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentPentest vs Vulnerability Assessment
Pentest vs Vulnerability Assessment
 
tipos de pruebas.
tipos de pruebas.tipos de pruebas.
tipos de pruebas.
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
 
Analisis vulnera
Analisis vulneraAnalisis vulnera
Analisis vulnera
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Pruebas software (1)
Pruebas software (1)Pruebas software (1)
Pruebas software (1)
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidades
 
Cadex Assessment Scanner
Cadex Assessment ScannerCadex Assessment Scanner
Cadex Assessment Scanner
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
 

Dernier

INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAINTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAJOSLUISCALLATAENRIQU
 
Maquinaria Agricola utilizada en la produccion de Piña.pdf
Maquinaria Agricola utilizada en la produccion de Piña.pdfMaquinaria Agricola utilizada en la produccion de Piña.pdf
Maquinaria Agricola utilizada en la produccion de Piña.pdfdanielJAlejosC
 
desarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialdesarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialGibranDiaz7
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZgustavoiashalom
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfedsonzav8
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMarceloQuisbert6
 
osciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdfosciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdfIvanRetambay
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfalexquispenieto2
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdffredyflores58
 
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASDOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASPersonalJesusGranPod
 
Obras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónObras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónXimenaFallaLecca1
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptCRISTOFERSERGIOCANAL
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingKevinCabrera96
 
Falla de san andres y el gran cañon : enfoque integral
Falla de san andres y el gran cañon : enfoque integralFalla de san andres y el gran cañon : enfoque integral
Falla de san andres y el gran cañon : enfoque integralsantirangelcor
 
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfLA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfbcondort
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaXimenaFallaLecca1
 
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptxNTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptxBRAYANJOSEPTSANJINEZ
 
introducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesintroducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesgovovo2388
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesElianaCceresTorrico
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxJuanPablo452634
 

Dernier (20)

INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAINTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
 
Maquinaria Agricola utilizada en la produccion de Piña.pdf
Maquinaria Agricola utilizada en la produccion de Piña.pdfMaquinaria Agricola utilizada en la produccion de Piña.pdf
Maquinaria Agricola utilizada en la produccion de Piña.pdf
 
desarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialdesarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrial
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdf
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principios
 
osciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdfosciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdf
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdf
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
 
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASDOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
 
Obras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónObras paralizadas en el sector construcción
Obras paralizadas en el sector construcción
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards Deming
 
Falla de san andres y el gran cañon : enfoque integral
Falla de san andres y el gran cañon : enfoque integralFalla de san andres y el gran cañon : enfoque integral
Falla de san andres y el gran cañon : enfoque integral
 
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfLA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
 
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptxNTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
 
introducción a las comunicaciones satelitales
introducción a las comunicaciones satelitalesintroducción a las comunicaciones satelitales
introducción a las comunicaciones satelitales
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
 

2. evaluacion de vulnerabilidades

  • 2. Evaluación de vulnerabilidades Evaluación de vulnerabilidades vs. Penetration test Hay mucha confusión entre lo que es una evaluación de vulnerabilidades y el penetration test Como pentester es tu responsabilidad entender las necesidades del cliente y apartir de ahi aconsejarle y entregarle la solución más apropiada cuando el cliente no tiene las herramientas y el conocimiento necesario para tomar la decisión correcta.
  • 3. Evaluación de vulnerabilidades Una evaluación de vulnerabilidades es un estudio de todas las vulnerabilidades que se encuentran dentro de un red o en la aplicacion de nuestro cliente La principal diferencia con un test de penetración es que no vamos a proceder con la fase de explotación, simplemente vamos a entregar pruebas de que existe vulnerabilidades dentro de cada sistema
  • 4. Evaluacion de vulnerabilidades Evaluar vulnerabilidades Escribir la lista de vulnerabilidades Encontrar o programar un exploit por cada vulnerabilidad que encontremos Explotar la o las vulnerabilidades Encontrar mas hosts/ elavar privilegios También debemos tomar en cuenta que la evaluación de vulnerabilidades es una de las fases más delicadas en el test de penetración, en algún punto del test el penetration tester querra construir una lista de las vulnerabilidades encontradas para después ir a través de cada vulnerabilidad tratando de explotarlas
  • 5. Evaluación de vulnerabilidades Cada vulnerabilidad explotada puede proveer más privilegios al pentester o puede encontrar un acceso a toda una nueva red que no habia detectado anteriormente Una vez que se detecta una nueva red el proceso siguiente será una nueva evaluación de vulnerabilidades de esta nueva red encontrada y eventualmente procederá a la explotación de esta red
  • 6. Evaluación de vulnerabilidades Claramente podemos decir que un test de penetración es mucho más completa en términos de vulnerabilidades descubiertas en comparación con una evaluación de vulnerabilidades. Por otra parte, si no hay una fase real de explotación, una evaluación de vulnerabilidad falla cuando se determina si hay amenazas reales y sobre todo que tan críticas son las fallas. Una evaluación de vulnerabilidades usualmente toma menos tiempo y una carga más ligera de las infraestructuras críticas de los clientes, por lo tanto, se aconseja exponer las vulnerabilidades en entornos de producción, cuando una prueba de penetración sería demasiado invasiva
  • 7. Evaluación de vulnerabilidades Herramientas para la evaluación de vulnerabilidades: Las evaluaciones de vulnerabilidades puede ser remotas o locales Una evaluación remota de vulnerabilidad usualmente se hace por medio del uso de un escáner de vulnerabilidades. Estos escáneres son herramientas que usan una base de datos que contiene información acerca de vulnerabilidades conocidas o auditorias de seguridad para descubrir las vulnerabilidades de los sistemas remotos
  • 8. Evaluación de vulnerabilidades Es responsabilidad del fabricante mantener la herramienta actualizada con las ultimas vulnerabilidades conocidas. Entre más actualizada está la base de datos, tendremos mejores y más relevantes resultados. La herramienta más completa en escáneres de vulnerabilidades es Nessus desarrollada por Tenable Network. Otras escaners de vulnerabilidades populares son: Openvas, eEye Retina, Saint, Gfi Languard.
  • 9. Evaluación de vulnerabilidades Nessus es un escaner de vulnerabilidades fácil de usar y muy poderoso, tanto puede ser usado en compañias pequeñas como en enormes corporaciones. Nessus es gratuito con su licencia Home, para uso no comercial, cualquiera lo puede instalar y usarlo para asegurar su red local.
  • 10. Evaluación de vulnerabilidades Cuando se instala nessus tenemos 2 componentes: un cliente y un servidor
  • 11. Evaluación de vulnerabilidades El cliente es lo que tu ejecutarás para configurar el escaneo
  • 12. Evaluación de vulnerabilidades El server es el componente que realmente realiza el escaneo y envia el reporte al cliente
  • 13. Evaluación de vulnerabilidades Podemos ejecutar el cliente y el server en la misma computadora, de hecho es lo más comun ejecutar tanto el cliente como el server en la misma computadora
  • 14. Evaluación de vulnerabilidades Estos son los pasos que las herramientas de escaneo de vulnerabilidades siguen: 1) Determinar cuales puertos estan abiertos. 2) Determinar que servicio está corriendo en cada puerto. 3) Busqueda de vulnerabilidades en la base de datos para encontrar vulnerabilidades en las versiones del servicio encontrado. 4) Envia exploraciones al sistema remoto para verificar que realmente si existe la vulnerabilidad detectada.