11/11/2010
1
Herramientas para Hacking Ético
Trabajo Terminal 2010-0014
Carlos Venegas Tamayo
Marco Gómez Santiago
Vicente Yáñez Hernández
10 de Noviembre, 2010
Contenido
I. Conceptos básicos.
II. El proyecto.
III. Trabajo futuro.
IV. Conclusiones.
2
11/11/2010
2
Conceptos Básicos
3
“Obtener una solución inteligente,
denominada hack”, MIT (1950).
Hacker: experto en una o varias
ramas de las TIC’s.
Definición
de Hacking.
4
11/11/2010
3
Aplicación de técnicas de hacking
con fines defensivos.
Hacking Ético: una metodología.
Hacker Ético: profesional de la
seguridad informática.
Hacking
Ético.
5
Ataque estructurado y controlado a
una infraestructura de información.
Detectar, analizar y priorizar
vulnerabilidades.
Herramienta del Hacker Ético para
evaluar la seguridad.
Simulación
de
Intrusión.
6
11/11/2010
4
Metodología propuesta por
The PenTest Framework:
I. Planeación.
II. Evaluación.
III. Reporte.
1. Reconocimiento.
2. Escaneo.
3. Ataque Puro.
4. Mantenimiento
de acceso.
5. Borrado de Huellas.
Simulación
de
Intrusión.
7
El Proyecto
8
11/11/2010
5
Identificación
del problema.Herramientas de hacking carecen
de confiabilidad.
Aumento en accesos no autorizados
a información sensible.
Desconocimiento de posibles
vulnerabilidades de un sistema.
Problemática
9
Alternativas
de Solución.
Problemática
10
NetscanToolsPaquete de herramientas de
Internet
NmapExploración de red y auditoría
de seguridad
Metasploit
Framework
Información y herramientas
para pruebas de penetración
Essential
Nettools
Herramientas de escaneo,
seguridad y monitorización
Nessus
Escáner de vulnerabilidades
y auditor de información
sensible
Herramientas existentes
(Descripción)
11/11/2010
6
Problemática
11
Herramienta $Netscan Tools $24900
Nmap –
Metasploit
framework –
Essential
Nettools $3900
Nessus –
Tabla comparativa de las herramientas existentes
(Sistemas Operativos soportados)
Un mecanismo que ofrezca soporte
en simulaciones de intrusión.
Un conjunto de herramientas
integradas y fiables.Solución
propuesta.
Problemática
12
11/11/2010
7
Creciente uso de simulaciones de
intrusión como medida preventiva.
Aplicación de proyecto en el campo
empresarial.
Justificación.
Problemática
13
Diseñar y desarrollar un conjunto
de herramientas de hacking ético
que asistan en la evaluación la
seguridad de los sistemas.
Objetivo
14
11/11/2010
8
Análisis
15
• Ping
• PathPing
• Traceroute
• Whois
Reconocimiento
• Sniffer
• Escaner TCP/UDP
• Man in the middle
• DNS Poisoning
Escaneo
• Denegación de Servicios
• Exploiting
• ARP/IP Spoofing
• Wireless hacking
Ataque puro
• SQL Injection
• Backdoor
Mantenimiento del acceso
• Rootkit
Borrado de huellas
Definición del Sistema
Entorno
Tecnológico.
16
Análisis
11/11/2010
9
17
Análisis
Subsistemas de Información
18
Arquitectura de entorno
(Prueba de BlackBox)
Análisis
11/11/2010
10
19
Arquitectura de entorno
(Pruebas de GrayBox y WhiteBox)
Análisis
Arquitectura
del Sistema.
Diseño
Arquitectura de 3 capas:
1. Presentación: wxWidgets
2. Lógica de Negocios: C++
3. Acceso a datos: MySQL
20
11/11/2010
11
Diseño
21Arquitectura del Sistema
Arquitectura
del Sistema.
22
Diseño
Diagrama de Clases
11/11/2010
12
Interfaz
Gráfica.
23
Diseño
Pantalla principal del Sistema
Interfaz
Gráfica.
24
Diseño
Pantalla de selección de interfaz
11/11/2010
13
Interfaz
Gráfica.
25
Diseño
Pantalla captura de tráfico
• Construcción del sistema.
• Pruebas aisladas y conjuntas de
herramientas.
• Integración de herramientas
finales.
• Documentación final.
Trabajo Futuro
26
11/11/2010
14
• Demostración de viabilidad y
factibilidad del sistema.
• Delimitación funcional del
sistema.
• Definición de minucias de
diseño.
Conclusiones
27
Fin
28
Dudas, comentarios y aclaraciones:
11/11/2010
15
Anexos
29
Estudio de Viabilidad del Sistema (EVS)
30
Herramienta R E Ap Ma Bh $ SO Total
NetscanTools 4.5 7.5 4.5 3.0 9.0 -6.0 2.5 25.0
Nmap 2.0 0.0 0.0 1.0 0.0 0.0 7.5 10.5
Metasploit
framework0.0 0.0 3.0 0.0 0.0 0.0 5.0 8.0
Essential
Nettools1.0 1.0 3.0 4.0 0.0 -0.7 2.5 11.2
Nessus 0.0 1.5 6.0 2.0 4.5 0.0 10.0 24.0
Tabla comparativa de las herramientas existentes
(Ponderación de características)
11/11/2010
16
Estudio de Viabilidad del Sistema (EVS)
31
Estimación de Esfuerzo, Tiempo y Costo
COCOMO 1 (Básico)
Esfuerzo:E = 2.4(8.5)1.05
E = 22.7 persona/mes
Tiempo:T = 22.7/3T = 7.5 meses
Costo:C = 22.7 *6895.2
C = $156,52104
Estudio de Viabilidad del Sistema (EVS)
32
Valores fijos de COCOMO 1 (Básico)
MODO a b c d
Orgánico 2.40 1.05 2.50 0.38
Semilibre 3.00 1.12 2.50 0.35
Rígido 3.60 1.20 2.50 0.32
Área geográfica Salario Mínimo
“A” $57.46
“B” $55.84
“C” $54.47
Salarios mínimos por área geográfica. SAT (Enero 1, 2010)
11/11/2010
17
Estudio de Viabilidad del Sistema (EVS)
33
Tabla de ingresos mensuales (INEGI)
Estudio de Viabilidad del Sistema (EVS)
34Catálogo de requisitos
Concepto Descripción
GeográficoEl conjunto de herramientas será utilizado en organizaciones
mexicanas.
Desarrollo
La solución debe dar soporte a la metodología de Hacking Ético
estudiada.
Los mecanismos que pudieran conformar la solución deberán operar
tanto individualmente como entre sí según lo determine el analista.
Tecnológico
La solución deberá adaptarse a las tecnologías Ethernet de acuerdo
a la pila de protocolos TCP/IP.
El mecanismo resultante deberá funcionar, al menos, con
plataformas Windows y distribuciones Linux.
Operativo
El resultado del proyecto deberá presentar un grado de confiabilidad
mayor al que pudiera encontrarse en las herramientas existentes.
El resultado del proyecto deberá permitir al analista garantizar la
seguridad de su uso a sus clientes.
Top Related