Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

03-Intoduça o Ao Pentest

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 8

Introdução ao Pen Test

Carlos Gustavo A. da Rocha

Segurança de Redes
carlos.rocha@ifrn.edu.br
Introdução ao pentest
● A palavra da moda é pen test …
● … Mas o que é mesmo isso

Segurança de Redes
carlos.rocha@ifrn.edu.br
Introdução ao pentest
● Definição
● Abreviação da palavra inglesa “Penetration Test”, que em
portugues significa “Teste de Penetração”.
● Processo de identificação e exploração de vulnerabilidades,
tentando utilizar dos mais diversificados métodos que um
atacante poderia utilizar, (ataques logicos, fisicos e
engenharia social).
● Pratica recomendada para aplicação periodica em redes
institucionais para medir o grau de vulnerabilidade e corrigir
problemas antes que sejam explorados por agentes
externos.

Segurança de Redes
carlos.rocha@ifrn.edu.br
Introdução ao pentest
● Pen test x analise de vulnerabilidades
● A analise de vulnerabilidade não explora as possiveis falhas
● Possiveis vulnerabilidades = Vulnerabilidades exploraveis
● Analise não mensura o risco que uma vulnerabilidade
exploravel pode causar.
● Pen Test é a forma adequada para determinar o risco real
das vulnerabilidades, e consequentemente, tratá -las de
forma correta.

Segurança de Redes
carlos.rocha@ifrn.edu.br
Introdução ao pentest
● Muito cuidado !!! Ética!!!
● Antes de começar, deve ser firmado contrato com
valor juridico especificando de forma clara os alvos,
objetivos, tipos de ataques que podem ser
realizados, prazos, limites, confidencialidade e
autorização da organização.
– Dependendo da legislação local, e do procedimento
adotado, um pen test pode ter consequencias legais!!!
● A equipe de segurança da instituição deve ou não
estar ciente da contratação do Pen Test por uma
equipe externa?
Segurança de Redes
carlos.rocha@ifrn.edu.br
Introdução ao pentest
● Tipos de Pen Test (uma das varias
classificações)
● Blind: a execução é feita sem conhecimento da estrutura da
organização, a unica informação são IP(s) ou Host(s).
● Non Blind: a execução é feita com conhecimento da
estrutura da organização, tais como servidores, firewalls,
roteadores, sistemas operacionais, etc).
● Externo: a execução é feita a partir da rede externa.
● Interno: a execução é feita a partir da rede interna (LAN).

Segurança de Redes
carlos.rocha@ifrn.edu.br
Introdução ao pentest
● Fazer ou não, Porque?
● Simulação real de ataque;
● Identificação (antes de outros) de fragilidades;
● Possibilidade de correção de problemas antes da
exploração;
● Verificação de eficacia de politica de segurança.

Segurança de Redes
carlos.rocha@ifrn.edu.br
Introdução ao pentest
● Apesar de serem coisas diferentes analise de
vulnerabilidades é um requisito para entender
pen test
● Uma boa analise pode servir de base para o pen test
● Conceitos e ferramentas para analise de vulnerabilidades
também são de grande importância

Segurança de Redes
carlos.rocha@ifrn.edu.br

Você também pode gostar