PentestPasso a passo (Teoria)
As invasões “reais” são realizadas por pessoas com  alto nível de conhecimento técnico, com focos    específicos em determ...
Esse tipo de invasão é uma atividade coordenada e cuidadosamente planejada, que passa por diversas etapas:1. Coleta de inf...
Coleta de InformaçõesAinda nessa fase, considerando que a empresa possua um site na internet,podemos coletar as informaçõe...
Próximo passo...2. Mapeamento da redeO objetivo dessa fase é tentar descobrir a topologia da rede: quantoscomputadores exi...
Mapeamento de RedeSe esse servidor DNS também for responsável pela resolução de nomes da redeinterna, pode ser que o ataca...
Próximo passo...3. Enumeração de serviçosUma feita já foram descobertas as máquinas existentes na rede, procuramosdescobri...
Próximo passo...4. Busca por vulnerabilidadesUma vulnerabilidade de um software é decorrente de um projeto deficiente ouer...
Próximo passo...5. Exploração das vulnerabilidadesDependendo do tipo de vulnerabilidade encontrada, a invasão será mais ou...
Próximo passo...6. Implantação de Backdoors e RootkitsUma vez que o invasor tenha obtido sucesso na sua investida, é comum...
Próximo passo...7. Eliminação de VestígiosToda invasão deixa rastros no computador atacado, seja nos logs (históricos) dos...
Formas de PrevençãoUso de firewall, IDS e IPS:O firewall é um elemento indispensável na sua rede, para controlar e impedir...
Formas de Prevenção* Serviços desnecessários: todos os serviços que não estiverem sendoefetivamente usados, devem ser desa...
Próximos SlideShares
Carregando em…5
×

Pentest teórico

466 visualizações

Publicada em

Resumo breve para administradores de redes

Publicada em: Tecnologia
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
466
No SlideShare
0
A partir de incorporações
0
Número de incorporações
6
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Pentest teórico

  1. 1. PentestPasso a passo (Teoria)
  2. 2. As invasões “reais” são realizadas por pessoas com alto nível de conhecimento técnico, com focos específicos em determinadas instalações ou empresas.Existe vários motivos pessoal, por questõesfinanceiras, na intenção de cometer fraudes ouaté mesmo contratados por empresasconcorrentes para espionagem ou sabotagem.Existe também uma categoria de profissionaisque são contratados pelas empresas para testarseus próprios sistemas de segurança, essaatividade se chama de PenTest (PenetrationTest ou Teste de Penetração).
  3. 3. Esse tipo de invasão é uma atividade coordenada e cuidadosamente planejada, que passa por diversas etapas:1. Coleta de informaçõesAntes de iniciar qualquer tentativa de invasão, devemos coletar o máximo deinformações a respeito da empresa atacada. Uma pesquisa no Google pode serum bom começo para saber o que existe de informação disponível na internet, arespeito de:* Atividades da empresa;* Composição acionária;* Nomes de sócios, diretores, gerentes de TI, administradores da rede;* Filiais e empresas coligadas;* Endereços de homepages e e-mails;
  4. 4. Coleta de InformaçõesAinda nessa fase, considerando que a empresa possua um site na internet,podemos coletar as informações sobre endereços de servidores DNS (DomainName Service ou Serviço de Nome de Domínio), nome do responsável técnico,endereço e CNPJ.Toda e qualquer informação deve ser considerada para que possamos ter umavisão global e um bom nível de entendimento sobre a empresa. Nomes desócios, diretores, funcionários e parceiros comerciais podem ser utilizados paraataques de Engenharia Social. A existência de filiais e coligadas pode significara existência de conexões VPN (Virtual Private Network ou Rede PrivadaVirtual), que a princípio é uma forma segura de interconectar redes pelainternet. Endereços web servem para descobrir os endereços IP por onde a redecorporativa geralmente se conecta na internet.
  5. 5. Próximo passo...2. Mapeamento da redeO objetivo dessa fase é tentar descobrir a topologia da rede: quantoscomputadores existem e como estão interligados. Para isso, podemos iniciarcom uma pesquisa nos servidores de DNS da empresa.Um servidor DNS é responsável pela mapeamento dos nomes de domínio (ex:servidor.empresa.com) para endereços IP (ex: 200.100.200.50). Ele énaturalmente acessível pela internet para determinados tipos de consultas,entretanto, existe um recurso, chamado de Transferência de Zona, que servepara sincronização de registros entre servidores primários e secundários.Alguns administradores de rede permitem que esse tipo de consulta seja feitade qualquer lugar da internet, por descuido ou desconhecimento, esimplesmente fornece o “mapa da mina” para um atacante, porque esse tipo deconsulta permite que se obtenha todo os nomes e endereços de todos osservidores da rede.
  6. 6. Mapeamento de RedeSe esse servidor DNS também for responsável pela resolução de nomes da redeinterna, pode ser que o atacante obtenha não só os endereços dos computadoresacessíveis pela internet, mas simplesmente de TODOS os computadores da redeinterna da empresa.Uma outra possibilidade para descobrir os computadores que existem nodomínio da empresa, é através de consultas de DNS “reverso”, quandoinformamos o endereço IP e o servidor retorna o nome da máquina queresponde por aquele endereço. Sabendo o endereço de um servidor, é possívelinferir a faixa de endereços possivelmente destinados à empresa e limitar apesquisa reversa nessa faixa.Existe inclusive uma técnica sofisticada de mapeamento, chamada defirewalking, que permite “enxergar” quais são as máquinas que estão por trásdo firewall. Seria mais ou menos como se pudéssemos ver através das paredes.
  7. 7. Próximo passo...3. Enumeração de serviçosUma feita já foram descobertas as máquinas existentes na rede, procuramosdescobrir quais os serviços que estão sendo executados em cada uma delas. Umserviço não é nada mais do que um programa que fica aguardando conexõesnuma determinada “porta”. Por exemplo, todas as conexões de páginas web sãofeitas para a porta de número 80. Quem responde às solicitações de conexãonessa porta é um software servidor web como por exemplo, Apache, IIS(Internet Information Service) da Microsoft ou qualquer outro software com amesma finalidade.As portas de numeração 1 à 1024 (de um total de 65.535) são padronizadas deacordo com o tipo de serviço. Assim, se encontramos a porta 22 aberta,podemos ter quase certeza que existe um serviço SSH (terminal remoto), assimcomo a porta 25 implicaria num serviço de e-mail. Só não podemos ter certezasobre o serviço que está “escutando” uma determinada porta porque essasnumerações são padronizadas, mas não obrigatórias. Nada impede que oadministrador disponibilize um serviço SSH na porta 25, por exemplo.
  8. 8. Próximo passo...4. Busca por vulnerabilidadesUma vulnerabilidade de um software é decorrente de um projeto deficiente ouerro de programação. Quando uma vulnerabilidade é descoberta porincontáveis pesquisadores ao redor do mundo, o fabricante do software énotificado e a vulnerabilidade é divulgada em sites especializados para quetodos tomem conhecimento da sua existência e tomem as providênciasnecessárias para eliminar esse risco. Isso geralmente é atingido com a aplicaçãode uma Correção ou Patch, disponibilizado pelo fabricante do software.Se o administrador da rede não aplicou as devidas correções num determinadosoftware, pode ser que ele possa ser explorado para a invasão. Para isso, bastaum pesquisa na internet para descobrir se aquela versão de software que estásendo usada, possui alguma vulnerabilidade e como ela é explorável.
  9. 9. Próximo passo...5. Exploração das vulnerabilidadesDependendo do tipo de vulnerabilidade encontrada, a invasão será mais oumenos efetiva. Algumas vulnerabilidades permitem apenas a interrupção doserviço, ao qual damos o nome de ataque DOS (Denial of Service ou Negação deServiço).As vulnerabilidades mais perigosas são as que permitem a execução deprogramas e comandos no computador remoto.Outro exemplo de ataque perigoso é o do tipo SQL Injection, feito em aplicaçõesweb mal feitas, permite desde a consulta direta à um banco de dados.Muitos desses ataques podem ser feitos com uso de programas ou scriptsprontos, chamados de exploits.
  10. 10. Próximo passo...6. Implantação de Backdoors e RootkitsUma vez que o invasor tenha obtido sucesso na sua investida, é comum que eleimplante programas que facilitem o seu retorno. São os chamados Backdoors,ou literalmente “porta dos fundos”. Além disso ele pode implantar os chamadosRootkits, que são programas que se agregam ao núcleo do sistema operacional,dificultando a sua localização.
  11. 11. Próximo passo...7. Eliminação de VestígiosToda invasão deixa rastros no computador atacado, seja nos logs (históricos) dosistema ou seja em forma de arquivos temporários. Para dificultar aidentificação da sua presença, o bom atacante procura eliminar esses vestígios,requerendo uma intervenção muito mais minuciosa na investigação doincidente e muitas vezes impossibilitando rastrear sua origem.
  12. 12. Formas de PrevençãoUso de firewall, IDS e IPS:O firewall é um elemento indispensável na sua rede, para controlar e impedir osacessos indesejáveis. Hoje é simplesmente inaceitável que se tenha uma redeconectada na internet sem um firewall.Os antivírus são programas de computador concebidos para prevenir, detectar eeliminar vírus de computador.O uso de IDS (Intrusion Detection System ou Sistema de Detecção de Intrusão)e um IPS (Intrusion Prevention System ou Sistema de Prevenção de Intrusão),são elementos desejáveis para uma defesa efetiva.
  13. 13. Formas de Prevenção* Serviços desnecessários: todos os serviços que não estiverem sendoefetivamente usados, devem ser desabilitados. Além de serem itens adicionaispara atualizações de segurança, são pontos adicionais em potencial para seremexplorados.* Atualização e Configuração: é indispensável que todos os serviçosdisponíveis para internet estejam com as últimas atualizações de segurançaaplicadas e, principalmente, corretamente configurados. Falhas deconfigurações são grandes causas de incidentes de segurança.* Monitoração constante: a monitoração das atividades da rede devem fazerparte da rotina diária de um administrador de redes. Só assim você poderáperceber anomalias no seu funcionamento. Deve ser incluída nessa rotina, amonitoração dos logs, também para detectar registros de ocorrências anormais.* O uso de ferramentas que detectem modificações nos arquivos dosistema também é uma medida desejável. Uma ferramenta gratuita que podeser utilizada para esse fim, é o tripwire.

×