Metodologías de Auditorias
Me gustaría saber si puedes decirme alguna página donde expliquen con detalle cuales son las metodologías más importantes que se usan para realizar auditorias de redes a fin de conocer cual es el nivel de seguridad de una determinada red.
Se, por ejemplo, que muchas se basan en la ISO 17799, y que hay una herramienta llamada COBRA que realiza valoraciones basadas en un formulario de preguntas que hay que rellenar. Pero yo estoy más interesado en cómo una empresa o una persona es capaz de averiguar los fallos de seguridad que tiene un red (obiando los de nivel físico y los de ingeniería social), las etapas que siguen y las herramientas que utilizan.
Se, por ejemplo, que muchas se basan en la ISO 17799, y que hay una herramienta llamada COBRA que realiza valoraciones basadas en un formulario de preguntas que hay que rellenar. Pero yo estoy más interesado en cómo una empresa o una persona es capaz de averiguar los fallos de seguridad que tiene un red (obiando los de nivel físico y los de ingeniería social), las etapas que siguen y las herramientas que utilizan.
1 Respuesta
Respuesta de daemonx
1
Veamos, en un principio podría decirte que la metodología seguida en COBRA esta muy bien cuando confías en que la gente sea buena y te diga como están las cosas. NO VALE. Actualmente están en auge los test de intrusión que dan una visión más especial de la seguridad implementada. Es como colocar a un grupo de "hackers éticos" en la dmz y la mz de la corporación e intentan explotarla.
Yo personalmente no sigo esa metodología de trabajo normalmente, aunque si que utilizo la técnica del checkbox para saber lo que los trabajadores saben de su propia compañía. Es un test para ellos, no para hacer yo.
Ovbiar el nivel físico y la ingeniería social es ser demasiado optimista... demasiado. No se puede olvidar, y casi repasar el nivel físico y la i.s. es lo primero que se suele hacer.
¿Herramientas? macho... eso si que es especial. Cada auditor, o "hacker ético", o como lo desees denominar hace las cosas de una forma y para ello se basa en herramientas que hacen... casiiiii eso que necesita...
Si lo que deseas es que te de nombres... te diré los comerciales, como comprenderás por motivos de seguridad no se pueden decir los demás:
Retina, Iris, SnifferPro, Saint, Snort, AirSnort, NetStumbler, Ethereal, Analyzer, NetworkView, etc...
Son muchas... unas para linux (la mayoría de las mejores) y otras también buenas para windows.
Etapas...
1. Una revisión de la arquitectura
2. Un pequeño test de intrusión
3. Colocación de sondas temporales del auditor
4. Repaso de resultados
5. Propuestas de mejoras
6. Ejemplos prácticos de mejoras
7. Adaptación o rediseño de arquitectura
Esas podrían ser a groso modo las fases a seguir.
Si deseas algo más especifico pues ya sabes... a preguntar...
p.d.: ya te veo en la lista... :-)
Yo personalmente no sigo esa metodología de trabajo normalmente, aunque si que utilizo la técnica del checkbox para saber lo que los trabajadores saben de su propia compañía. Es un test para ellos, no para hacer yo.
Ovbiar el nivel físico y la ingeniería social es ser demasiado optimista... demasiado. No se puede olvidar, y casi repasar el nivel físico y la i.s. es lo primero que se suele hacer.
¿Herramientas? macho... eso si que es especial. Cada auditor, o "hacker ético", o como lo desees denominar hace las cosas de una forma y para ello se basa en herramientas que hacen... casiiiii eso que necesita...
Si lo que deseas es que te de nombres... te diré los comerciales, como comprenderás por motivos de seguridad no se pueden decir los demás:
Retina, Iris, SnifferPro, Saint, Snort, AirSnort, NetStumbler, Ethereal, Analyzer, NetworkView, etc...
Son muchas... unas para linux (la mayoría de las mejores) y otras también buenas para windows.
Etapas...
1. Una revisión de la arquitectura
2. Un pequeño test de intrusión
3. Colocación de sondas temporales del auditor
4. Repaso de resultados
5. Propuestas de mejoras
6. Ejemplos prácticos de mejoras
7. Adaptación o rediseño de arquitectura
Esas podrían ser a groso modo las fases a seguir.
Si deseas algo más especifico pues ya sabes... a preguntar...
p.d.: ya te veo en la lista... :-)
