Explorar un sistema antes era todo un reto, pero con la aparición de las nuevas tecnologías todo ha cambiado y los mismos pueden penetrarse en cuestión de segundos, esto ha convertido a los sistemas muy vulnerables, siendo necesario contar con los test de penetración que permitan conocer que tan vulnerable es el sistema, de hecho, uno de los mejores tests, que funciona de forma sencilla y que oferta versiones gratuitas es Metaspoit, por ello, a continuación te indicamos cómo correr un test de penetración rápido con Metaspoit.
Y arranca el test de penetración rápido con Metaspoit
Para poder realizar el ataque simulado con el que se compruebe la vulnerabilidad del sistema con el test de penetración rápido con Metaspoit, es necesario instalar dos máquinas virtuales conectadas entre sí. Es importante que, se puedan verificar la visibilidad de las máquinas, comprobando que ambas pueden comunicarse, esto se puede revisar con el ping para las dos.
Seguidamente, se usa la consola de Metasploit desde donde se lanzarán todos los comandos al otro equipo conectado, para poder así realizar la prueba de penetración, pues para manejar la consola solo se requiere de los comandos.
Uso de los comandos en es test de penetración rápido
Para cada acción existe un comando, los cuales pueden ser consultados al sistema para la ejecución de cada actividad que se desea realizar de prueba. Estos comandos son los que permiten penetrar en el sistema y empezar a conocer la información que este almacena, lo que puede ser muy peligroso si se esta enfrentando a un ataque real.
Recopilar información sobre el sistema
Esta es la primera fase para correr un test de penetración rápido con Metaspoit. Se debe recopilar información sobre el sistema objetivo, a esto se le llama la etapa de reconocimiento y a partir de la información obtenida, se pueden tomar las decisiones acertadas para la ejecución correcta y buena utilización del sistema.
Después de que los datos estén recopilados, se debe proceder a la explotación del sistema, para ello se debe efectuar la selección de los exploits y luego de ejecutarlos se analizará su impacto en el sistema.
Ejecución de los exploits
Los exploits son aplicaciones que sirven de pruebas de vulnerabilidad del sistema. Estas aplicaciones sirven para engañar, valiéndose de la confianza de la víctima, para luego atacar los sistemas de información y penetrar en ellos.
La explotación
En el caso que se logre penetrar y obtener la información que se buscaba, ahora sigue la fase de explotación, la cual consiste en, extraer la información. Si esta información puede ser explotada, quiere decir que el sistema es vulnerable y que se debe reforzar la seguridad del mismo, pues cualquiera podrá penetrar y obtener información, borrarla o modificarla si no se toman acciones a tiempo.
Lo anterior se realizaría con el payload que sea compatible con el exploit usado. Con todo esto se considerará si el sistema es o no es vulnerable, pues si se obtiene información con este test de penetración rápido con Metaspoitla, hay que actuar de inmediato.
Imagen cortesía de koox (koox.com), todos los derechos reservados.