In quali fasi consiste un test di penetrazione della rete?

Naviga le tue risposte
1

Quali sono le fasi comuni di un test di penetrazione dell'infrastruttura di rete?

Fissare con la scoperta di IP e porte? Una semplice valutazione della vulnerabilità, controllando le informazioni sulla versione dei banner da diversi servizi su porte diverse rispetto ai database CVE (-like)? Verifica la disponibilità dall'esterno della rete? Inizia a monitorare il traffico di rete per un po 'di tempo usando lo sniffing?

Con lo scopo di ottenere una panoramica di possibili problemi di sicurezza e vulnerabilità riguardanti l'infrastruttura di rete e la configurazione.

    
posta Bob Ortiz 14.07.2016 - 19:21
fonte

2 risposte

3

Quando mi occupo di test di penetrazione, i miei obiettivi vanno oltre la ricerca di porte aperte, la ricerca di "informazioni" che potrebbero essere utilizzate per ottenere l'accesso o avere un impatto negativo sull'azienda. Se ti concentri esclusivamente su porti (servizi) o informazioni sul CVE, probabilmente mancherete indicatori comuni e informazioni che un attaccante non mancherà. Di solito i miei test di penetrazione iniziano come valutazioni di vulnerabilità:

  1. NMAP / Unicorn Scan (strumenti di mappatura di rete)
  2. Nessus / OpenVAS (scanner di vulnerabilità)
  3. Computer portatile separato con Wireshark + Risponditore di SpiderLabs

La mappatura di rete può dipingere un'immagine decente, ma una scansione NMAP off the shelf non produrrà tante informazioni come una scansione Nessus / OpenVAS, che può mostrare condivisioni aperte. Un tipico primo giorno può includere nient'altro che la scoperta (scansioni arp, scansioni nmap, scansione vulnerabilità) in modo che possa creare una superficie di attacco.

Una volta costruita una superficie di attacco, il lavoro si divide in automazione e controllo manuale. Non eseguirò mai un exploit contro una vulnerabilità, in cui quell'exploit potrebbe innescare un diniego di servizio. Sconfigge lo scopo, mentre posso documentare: "gli exploit sono disponibili, tuttavia non sono stati eseguiti a causa di una negazione del servizio". Rendilo comprensibile al cliente: "La porta è aperta, l'attaccante entrerà, non l'abbiamo fatto perché causare il caos. "

Per i servizi, prendo i server HTTP + HTTPS e li invio per testarli utilizzando Nikto, Wikto, Burpsuite e AppScan. Risciacquare e rivedere, attendere l'output, analizzare i dati e andare da lì. Per i servizi su dispositivi specifici (ad esempio SSH su uno switch Cisco), tenterò SOLTANTO una forza bruta per le 50 migliori password. C'è una ragione per questo: ho bisogno di verificare se ho accesso a ATTEMPT per fare un cambiamento, e se io (come attaccante) verrò bloccato dopo N tentativi. Non c'è bisogno che io vada oltre la top ten, dato che posso formularla correttamente: "L'attaccante ha la capacità di bloccare ripetutamente il dispositivo senza controllo. A causa della quantità di tempo in questo incarico, abbiamo controllato 50 password migliori .. "Ancora una volta, non ha senso attaccare con la lista delle password RockYou. La realtà è che, dato il tempo necessario a un utente malintenzionato, la password potrebbe essere rinforzata ... Non vengono bloccati dal tentativo.

L'informazione è re. Ad esempio, su molte scansioni Nessus, guardo sempre i dati informativi. Spesso trovo che vedrò qualcosa come "NFS Share World Readable" dove posso rimuovere me stesso da un dominio, montare una condivisione, ed ecco, molte volte ho ottenuto l'accesso ai file PST, materiale riservato della società. Cosa pensi sia più critico per il business, dicendo al cliente: "Ho azzerato il tuo gateway SRX (che non puoi correggere, ma dovrò fare affidamento su un venditore) contro: Sono stato in grado di montare 10.10.10.2: /backups/CEO/backup.pst "

Non sono d'accordo con lo striscione che controlla il commento di cui sopra, poiché le organizzazioni sotto alcuni mandati dovrebbero creare i propri banner: "Uso limitato chiunque verrà perseguito" per non parlare che è facile per NMAP lanciare un sacco di falsi positivi. Per le impronte digitali, farò affidamento su p0f .

Spesso cerco dei relé interni, poiché è più facile ignorare i filtri antispam e inviare a un dipendente un'email di phishing per testare più cose: 1) Consapevolezza dei dipendenti (hanno aperto l'e-mail) 2) Mitigazioni tecnologiche ( filtri antispam) 3) Gestione patch (se il mio allegato ha parti client contro IE8.0 sono stati attivati).

Suggerisco di consultare Standard di esecuzione dei test di penetrazione per ulteriori informazioni che ti aiuteranno nella tua domanda. Ci saranno più risposte a questa domanda, ma c'è anche l'esperienza per iniziare a concatenare gli attacchi. Per esempio. quindi hai trovato una condivisione nulla contro una macchina Windows. Prendi l'output e crea un elenco di utenti (dal momento che alcune scansioni nulle ottengono questo per te), crea un elenco di reti che non conoscevi (ottenute da uno snmpwalk pubblico), collegale a una bruteforce con 50 password migliori contro dire una stampante, condividere, ecc.

---- (Aggiunto)

Prendere nota, prima di eseguire qualsiasi strumento, se è possibile collegarsi a una rete e vedere il traffico, che è di per sé un ritrovamento (non esiste un controllo di accesso alla rete). Se è possibile eseguire Wireshark e Responder, ulteriori risultati. C'è molto da fare al di fuori di sparare via nmap, Nessus, Metasploit, ecc. Le informazioni dovrebbero essere analizzate nel miglior modo possibile, e con ciò detto, l'esperienza è lo strumento più grande che avrai nel tuo arsenale

    
risposta data 22.07.2016 - 14:35
fonte
1

Oltre ai riferimenti del libro rimasti nel mio commento, penso che puoi impostare quanto segue come passaggi di livello superiore.

  1. OSINT (include ricognizione sulla società, ricognizione di record DNS, ecc.)
  2. Scansioni IP
  3. Verifica del banner per le vulnerabilità
  4. Scansioni e ampli dell'applicazione Web; test (Burp, Nikto, ecc.)
  5. Ingegneria sociale dei dipendenti
  6. Escalation di privilegi (se richiesto perché è stato acquisito un accesso limitato dal server compromesso)
  7. Verifica dell'intensità della password (forza bruta, verifica delle password conosciute, confronto se la password era in un dump recente)
  8. Spostamento laterale attraverso un furto di rete / pivot / credenziali di dominio

Detto questo, so che alcune aziende stanno anticipando l'intera "violazione del perimetro" in questi giorni perché la mentalità è che "Spear Phishing funziona sempre". Ai team rossi viene fornita una casella sulla rete o un punto di accesso tramite un altro mezzo e fanno tutto il possibile per lavorare lateralmente attraverso la rete e vedere cosa possono compromettere.

Inutile dire che ogni rete e ogni test sono diversi, ma in generale i passaggi sopra indicati sono quelli che probabilmente vedrai nella maggior parte dei pen-test.

Modifica

Risorse come richiesto (nota che non ho affiliazioni con altri libri, quindi sono un felice proprietario di entrambi). Mentre entrambi coprono gran parte dello stesso terreno, ogni sezione che l'altro non fa.

risposta data 14.07.2016 - 20:09
fonte

Leggi altre domande sui tag

Dimensioni della chiave RSA v / s dimensioni della chiave pubblica Come viene eseguito il malware scaricato da JavaScript e perché dovresti distribuire il malware in un file .js?