Com ja hem vist en post anteriors el pentesting es tracta d’un dels mètodes d’auditoria de ciberseguretat més efectius. Aquest mètode, és capaç de destapar les possibles vulnerabilitats tant a nivell intern com extern d’una organització. Todos los test que se realizan a través de esta metodología cuentan con una serie de fases y técnicas que tienen como objetivo servidores, switchs, routers, IPS/IDS, firewall, equipos y dispositivos IoT ubicados en los diferentes segmentos de la red de una organización. Tot test de penetració comporta la utilització de tècniques per a construir el mapa de xarxa o serveis, que serà posteriorment utilitzat en totes les altres fases de l’auditoria. Les 5 eines imprescindibles per al pentesting i utilitzades per a disposar del mapa de xarxa complet de l’organització són les següents:
Eines imprescindibles per al test de penetració de xarxa interna
- Nmap– Una eina fonamental per cartografiar màquines i construir un mapa de xarxa. Amb aquesta eina es pot aconseguir saber el nombre de màquines que hi ha en cadascuna de les subxarxes i arribar a relacionar, adreces IP, amb adreces MAC i noms de màquines.
- Wireshark– Després de nmap aquesta eina li permet veure les comunicacions que es realitzen a través de la xarxa, obtenint informació sobre les comunicacions d’origen i destinació. A més de visualitzar peticions del tipus ARP, DNS, SNMP, CDP… etc.
- Traceroute: utilitzat per a esbrinar el nombre de salts necessaris per a arribar a aconseguir cadascuna de les màquines situades en cada subxarxa i per tant saber la mètrica i poder determinar uns certs comportaments que pot prendre el firewall.
Eines imprescindibles per al test de penetració de xarxa externa:
- Nessus: eina d’avaluació de seguretat dels serveis de xarxa existents.
- Nikto: eina fonamental per a realitzar el mapatge de tots els recursos Web que pengen del servidor.
Gràcies a aquesta mena d’eines que automatitzen les proves de seguretat i test d’explotació manual s’aconsegueixen detectar vulnerabilitats i errors en les organitzacions que poden deslliurar-les de futurs compromisos.