A menudo recibo mensajes de mis lectores pidiéndome tips acerca de cómo armar un laboratorio de hacking casero que sea funcional, pero que a su vez sea fácil de implementar y que no involucre invertir mucho dinero.
La verdad sea dicha, es difícil cumplir con el último requisito, puesto que se requiere invertir en algo de hardware; pero trataré de cubrir en este post algunas sugerencias que nos ayuden a implementar un laboratorio de hacking básico – dirigido a quienes se están iniciando en el ámbito del pentesting – y que a su vez, no resulte tan caro de implementar.
En la figura previa vemos la topología lógica de nuestro laboratorio:
- 1 estación hacker (con sistema operativo Kali Linux)
- 3 o más equipos víctimas con diversos sistemas operativos
- 1 router WiFi (para poder practicar hacking inalámbrico)
Dicha topología podría hacernos pensar que necesitaremos invertir mucho dinero en equipos y licencias de software, pero si usamos virtualización en conjunto con software libre, podemos recortar los costos al mínimo.
La figura siguiente muestra la topología física de nuestro laboratorio de hacking:
Como se observa en la figura previa, en realidad sólo requerimos comprar 1 computador y 1 router WiFi, en caso de que no tuviésemos ya estos equipos en casa. Mi recomendación es la siguiente:
Hardware:
- 1 laptop con un buen procesador (CPU Core i7 o equivalente como mínimo), al menos 8GB de RAM (16GB recomendado), tarjeta aceleradora de gráficos (para los laboratorios de cracking de claves), tarjeta WiFi. Si me preguntan, mi laptop favorita es la ACER Predator, seguida muy de cerca por la Alienware 15 R4.
- 1 router WiFi que soporte los protocolos: WEP, WPA/WPA2/WPA3.
Software:
- El sistema operativo base de la laptop puede ser Linux, MacOS o Windows, según su preferencia.
- Hipervisor (software para virtualización). VirtualBox es de código abierto y es multiplataforma, VMWare tiene una versión gratuita para uso personal llamada VMWare Workstation Player, disponible para Windows y Linux, y VMWare Fusion, también gratuito, para MacOS.
Una vez listos el hardware y software requeridos, será momento de montar nuestras máquinas virtuales. Mi sugerencia es usar Kali Linux como estación de hacking, pero existen otras distibuciones de seguridad informática muy buenas como Backbox, Parrot, etc. Las máquinas virtuales ya listas de Kali para VMWare o VirtualBox pueden obtenerse desde http://www.kali.org/downloads/.
Como máquinas víctimas u objetivos lo ideal es usar distintas versiones de Windows, Linux, MacOs, Android, etc., que tengan instaladas aplicaciones y servicios populares vulnerables, con el fin de practicar diferentes tipos de ataques.
Metasploitable2 es una máquina virtual Linux, expresamente vulnerable, que puede descargarse gratuitamente desde https://sourceforge.net/projects/metasploitable/.
El lector en este momento puede estar pensando en el costo de las licencias de Windows, pero felizmente existen proyectos como Metasploitable3 [1] y del mismo Microsoft, que nos permiten obtener máquinas virtuales Windows ya listas con licenciamiento legal, SIN COSTO.
- Sitio de descarga de máquinas virtuales de sistemas Microsoft: https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/#downloads [2].
El sitio antes descrito es mantenido principalmente para proveer a los desarrolladores web formas de probar sus aplicaciones en diferentes navegadores y sistemas operativos de Microsoft, pero no hay ningún impedimento legal para que lo usemos para realizar pruebas de intrusión. Dado que son máquinas virtuales para pruebas, la licencia otorgada es de carácter temporal. Sin embargo, de requerirse un mayor tiempo de prueba, podemos volver a realizar el proceso de importación. El proceso de importación ya sea en VmWare o VirtualBox es sencillo de realizar, pero los detalles se pueden revisar en el documento de release notes incluido en el sitio web.
Posteriormente, conforme el lector avance en sus habilidades de hacking, podrá ponerse mayores desafíos. Estos son algunos sitios que proveen máquinas virtuales vulnerables, aplicaciones inseguras o desafíos de hacking:
- Vulnerable by Design: https://www.vulnhub.com/
- Buggy Web App: http://www.itsecgames.com/
- Damn Vulnerable iOS Application: http://damnvulnerableiosapp.com/
- Game of Hacks: http://www.gameofhacks.com/
- Hack This Site!: https://www.hackthissite.org/
Si te gustó el artículo por favor compártelo en tus redes sociales. ¿Conoces otros sitios gratuitos para realizar desafíos de hacking? Por favor incluye los links a dichos sitios dejándome un comentario. Muchas gracias de antemano por tu aporte.
- Aprende a usar el Metasploit Framework - 2019-12-09
- ¿Cuál es la mejor Plataforma de Hacking? - 2019-12-09
- ¡Arma tu propio laboratorio de Hacking! - 2019-12-09