Penetration Testing de Red: Explicación de las Diferencias entre Interno y Externo
Esta guía proporciona todo lo que necesita para entender, definir el alcance y ejecutar este tipo de pruebas, con orientación práctica que puede aplicar de inmediato.
Pruebas de Red Externa
Las pruebas de penetración externas evalúan su infraestructura expuesta a Internet desde la perspectiva de un atacante externo. El evaluador simula un atacante sin acceso interno, sondeando sus rangos de IP públicos, servidores web, servidores de correo, puntos finales VPN, infraestructura DNS y cualquier otro servicio expuesto a Internet. El objetivo: identificar si un atacante externo puede vulnerar su perímetro y obtener acceso a sistemas internos.
Pruebas de Red Interna
Las pruebas de penetración internas comienzan desde dentro de su red, simulando un escenario en el que un atacante ya ha ganado un punto de apoyo, tal vez a través de phishing, un punto final comprometido o un empleado malicioso. El evaluador determina si puede escalar privilegios, moverse lateralmente a través de segmentos de red, acceder a datos confidenciales, comprometer Active Directory y alcanzar sistemas críticos que deben protegerse mediante la segmentación.
Pruebas de Segmentación
La segmentación de red es su estrategia de defensa en profundidad: aislar los sistemas confidenciales (como su entorno de datos de titulares de tarjetas o bases de datos ePHI) de la red más amplia. Las pruebas de segmentación verifican que estos límites realmente se mantengan. ¿Puede un usuario en la WiFi de invitados acceder a su base de datos de producción? ¿Puede una estación de trabajo comprometida en marketing acceder al servidor de finanzas? Para el cumplimiento de PCI DSS, las pruebas de segmentación son obligatorias.
Seguridad de Active Directory
Active Directory es la columna vertebral de la mayoría de las redes empresariales y el objetivo principal para el movimiento lateral y la escalada de privilegios. El Pentesting interno debe evaluar las políticas de contraseñas, la seguridad de Kerberos (Kerberoasting, AS-REP Roasting), las configuraciones erróneas de la directiva de grupo, las vulnerabilidades de delegación y las rutas que un atacante podría tomar desde una cuenta de usuario estándar hasta el administrador del dominio.
Cuándo Necesita Ambos
La mayoría de los marcos de cumplimiento normativo requieren pruebas tanto externas como internas. PCI DSS exige ambas explícitamente. Los auditores de SOC 2 esperan evidencia de que ambas perspectivas han sido evaluadas. Y desde un punto de vista de seguridad, probar solo el perímetro e ignorar lo que sucede después de una brecha es como cerrar la puerta principal con llave pero dejar todas las habitaciones interiores abiertas de par en par.
En Resumen
Las pruebas de penetración de red evalúan la infraestructura de la que dependen sus aplicaciones y datos, tanto desde el exterior como desde el interior. Penetrify cubre ambas perspectivas con escaneo automatizado para una amplia cobertura de la infraestructura y pruebas manuales de expertos para los ataques de Active Directory, las derivaciones de segmentación y las rutas de movimiento lateral que determinan su exposición real.