Para poder organizar la seguridad de una red, lo primero debemos de conocer a lo que nos enfrentamos, un ataque a la seguridad, no ocurre como un evento fortuito o al azar, es una actividad muy bien planeada y ejecutada de forma muy meticulosa, la cual tiene una metodología bien definida.
Reconocimiento
Esta es la primer fase del ataque, consiste en recabar información de la víctima del ataque para hacer una evaluación de la misma, esta es una fase preparatoria, mientras mas información se obtenga será mejor.
El reconocimiento se puede clasificar de dos formas:
- Reconocimiento pasivo: se busca información sin interactuar con la victima, las fuentes suelen ser noticias referentes a cambios o modernización de la infraestructura de TI , redes sociales y cualquier otra fuente que nos proporcione datos de la víctima.
- Reconocimiento activo: necesita interacción con la victima para obtener datos que parecen insignificantes, involucra llamadas telefónicas simulando ser compañías o encuestadores, o incluso suplantar personal de soporte externo a la empresa.
Escaneo
Es un pre-ataque, se trata de obtener información de la red, tomando como base la información obtenida en la fase de reconocimiento, esta fase requiere de distintas técnicas y herramientas que permiten al atacante explorar y conocer el comportamiento y la composición de nuestra red.
En esta fase se suelen usar programas de marcado (dialers), escáners de puertos, escáners de vulnerabilidades y mapeadores de red, algunos de estos programas no fueron desarrollados para usarse en un ataque, por lo que son perfectamente legales, pero que aun así permiten obtener información importante.
Obtener acceso.
La fase de obtención de acceso, es la fase de penetración, es en donde se vulnera la seguridad de la red, explotando las vulnerabilidades que se encontraron en las fases anteriores.
El uso del exploit (vulnerabilidad) puede ocurrir desde la misma red local o a través de internet, todo dependerá del atacante y de la arquitectura de la red.
Mantener el acceso
Romper la seguridad de un sistema y lograr el acceso no es suficiente, los atacantes buscan mantener el acceso al sistema el mayor tiempo que sea posible, por lo que colocan y modifican el sistema para poder asegurar su acceso, esto incluye la instalación de backdoors, rootkids y troyanos
Cubrir las huellas
Los atacantes tratan de cubrir cualquier señal que delate que estos tienen accesos al sistema, esto con el fin de mantener el acceso por mas tiempo, así como el evitar la acción legal,
Esta fase hace uso de la modificación o eliminación de los archivos .log
Sistemasumma.com 