Com ja hem vist en post anteriors el pentesting es tracta d’un dels mètodes d’auditoria de ciberseguretat més efectius. Aquest mètode, és capaç de destapar les possibles vulnerabilitats tant a nivell intern com extern d’una organització. Tots els test que es realitzen a través d’aquesta metodologia compten amb una sèrie de fases i tècniques que tenen com a objectiu servidors, switchs, encaminadors, IPS/IDS, firewall, equips i dispositius IoT situats en els diferents segments de la xarxa d’una organització. Tot test de penetració comporta la utilització de tècniques per a construir el mapa de xarxa o serveis, que serà posteriorment utilitzat en totes les altres fases de l’auditoria. Les 5 eines imprescindibles per al pentesting i utilitzades per a disposar del mapa de xarxa complet de l’organització són les següents:

Eines imprescindibles per al test de penetració de xarxa interna

  • Nmap Una eina fonamental per cartografiar màquines i construir un mapa de xarxa. Amb aquesta eina es pot aconseguir saber el nombre de màquines que hi ha en cadascuna de les subxarxes i arribar a relacionar, adreces IP, amb adreces MAC i noms de màquines.
Nmap
  • Wireshark– Després de nmap aquesta eina li permet veure les comunicacions que es realitzen a través de la xarxa, obtenint informació sobre les comunicacions d’origen i destinació. A més de visualitzar peticions del tipus ARP, DNS, SNMP, CDP… etc.
Wireshark
  • Traceroute: utilitzat per a esbrinar el nombre de salts necessaris per a arribar a aconseguir cadascuna de les màquines situades en cada subxarxa i per tant saber la mètrica i poder determinar uns certs comportaments que pot prendre el firewall.

Eines imprescindibles per al test de penetració de xarxa externa:

  • Nessus: eina d’avaluació de seguretat dels serveis de xarxa existents.
  • Nikto: eina fonamental per a realitzar el mapatge de tots els recursos Web que pengen del servidor.
Nikto

Gràcies a aquesta mena d’eines que automatitzen les proves de seguretat i test d’explotació manual s’aconsegueixen detectar vulnerabilitats i errors en les organitzacions que poden deslliurar-les de futurs compromisos.

Posaràs en joc el futur de la teva organització?