Construye un Entorno de Prácticas de Ciberseguridad en 5 Minutos: ¡Desbloquea tu Primer Paso para Convertirte en un Profesional del Hacking! (Guarda e

Para los recién llegados a la ciberseguridad, a menudo es necesario configurar un entorno de prácticas para realizar pruebas de penetración. Un entorno de prácticas es esencialmente una plataforma que simula un entorno de red real, permitiendo al personal de seguridad realizar diversas pruebas de seguridad (como pruebas de penetración, búsqueda de vulnerabilidades y simulacros de ataque/defensa) en un entorno controlado. Construir dicho entorno ayuda a los profesionales a practicar la simulación de ataques y vulnerabilidades del mundo real de forma legal y ética, mejorando en última instancia la eficacia y precisión de las defensas de seguridad.

La arquitectura técnica para construir un entorno de prácticas es fundamentalmente la misma que la del despliegue de un sitio web real. Aunque los entornos de producción pueden implicar configuraciones más complejas (como balanceo de carga, fortalecimiento de la seguridad, etc.), el entorno de ejecución principal se basa en estos componentes clave:

1. Código de la Aplicación Web: Incluye la lógica tanto del front-end como del back-end.

2. Servidor Web: Gestiona las solicitudes y sirve el contenido. Ejemplos comunes incluyen Nginx, Apache, Caddy, etc.

3. Base de Datos: Almacena y gestiona datos, como MySQL, MongoDB, PostgreSQL, etc.

Estos tres componentes forman la base de un sitio web funcional.

Basándose en estos componentes, se pueden combinar diversas pilas tecnológicas (technology stacks), como Frontend + Python + Nginx + MySQL, Frontend + Java + Nginx + MySQL, Frontend + PHP + Apache + MongoDB, etc.

Configurar y gestionar manualmente todos estos componentes y sus dependencias para un entorno de prácticas sería bastante tedioso y llevaría mucho tiempo. Por lo tanto, para simplificar el despliegue y centrarse en la práctica en sí, recomendamos usar una herramienta integrada conveniente como ServBay. Nos ayuda a configurar rápida y fácilmente entornos de ejecución de sitios web con diversas combinaciones.

¡Bien! ¡Comencemos a construir el entorno de prácticas!

ServBay

Introducción a ServBay

ServBay es una herramienta de gestión de entornos de desarrollo que integra lenguajes de desarrollo comunes (incluyendo Python, PHP, Go, Node.js, etc.), así como servidores web y bases de datos populares. Para nuestras necesidades de pruebas de penetración, debemos considerar varios escenarios. La principal ventaja de ServBay radica en su cambio con un solo clic entre diferentes versiones de software, lo que te permite simular rápidamente diversos entornos objetivo con vulnerabilidades conocidas.

Instalación de ServBay

Primero, instalemos ServBay. Enlace de descarga oficial: https://www.servbay.com/download

Entra en la interfaz de inicialización de ServBay y selecciona los servidores web, lenguajes y bases de datos que necesitas instalar.

Espera a que se complete la instalación. ServBay se ejecutará automáticamente.

La siguiente pantalla indica que la instalación está completa.

Descarga e inicia la base de datos MySQL.

Luego, inicia el servidor web requerido. Aquí elegí Nginx.

Una vez que el entorno esté listo, necesitamos instalar la aplicación de práctica. Aquí, recomiendo DVWA.

DVWA

Introducción a DVWA

DVWA (Damn Vulnerable Web Application) es, en pocas palabras, un sitio web deliberadamente lleno de vulnerabilidades ("malditamente vulnerable") específicamente para practicar. Incluye intencionalmente un montón de vulnerabilidades web comunes, como Inyección SQL, XSS (Cross-Site Scripting), vulnerabilidades de Subida de Archivos, etc., lo que lo hace perfecto para que los estudiantes de ciberseguridad practiquen.

DVWA incluye 10 módulos de ataque.

Además, DVWA te permite ajustar manualmente el nivel de seguridad del código fuente: Bajo, Medio, Alto e Imposible. Cuanto más alto sea el nivel, más estrictas serán las medidas de seguridad y mayor será la dificultad de penetración. ¡Ya seas principiante o experto, DVWA puede satisfacer tus necesidades de práctica!

Instalación de DVWA

Enlace de Descarga de DVWA: https://github.com/digininja/DVWA

Después de descargar y extraer, mueve los archivos al directorio /Applications/ServBay/www/. (Nota: Esta ruta es específica de macOS. Ajústala si usas un sistema operativo diferente, normalmente dentro de la carpeta raíz web designada por ServBay).

Luego, renombra el archivo config.inc.php.dist a config.inc.php. Solo necesitas modificar el nombre de usuario y la contraseña de la base de datos; otras configuraciones pueden permanecer sin cambios.

Recordatorio Amistoso: Debes introducir las credenciales de MySQL aquí (nombre de usuario y contraseña). Los valores predeterminados generalmente se pueden encontrar en el panel de ServBay a menos que los hayas cambiado durante la configuración o después. Si has modificado el nombre de usuario o la contraseña de MySQL, usa tus credenciales personalizadas aquí.

Configurar Base de Datos y Sitio Web

En tu navegador, ve a https://servbay.host/ (o el host configurado en ServBay) para abrir el sitio web de la instancia. Haz clic en phpMyAdmin para llegar a la página de inicio de sesión.

Introduce el nombre de usuario y la contraseña de MySQL (que se encuentran en ServBay o los que estableciste), accede a la página de gestión de bases de datos y crea una nueva base de datos.

Introduce el nombre para la nueva base de datos (normalmente 'dvwa' como se especifica en el archivo de configuración de DVWA) y haz clic en 'Crear'.

Ahora, abre ServBay y crea un nuevo sitio, apuntando su directorio raíz a la carpeta DVWA que colocaste anteriormente (por ejemplo, /Applications/ServBay/www/DVWA). Asígnale un nombre de dominio.

En tu navegador, introduce el nombre de dominio que acabas de configurar para el sitio. Deberías llegar con éxito a la página de configuración/inicio de sesión de DVWA. Si es la página de configuración, haz clic primero en el botón "Create / Reset Database".

Introduce el nombre de usuario predeterminado admin y la contraseña password para iniciar sesión en la página de práctica de pruebas de penetración.

¡Listo, la configuración de DVWA está completa! ¡¡¡Felicidades!!!

Haz clic en el botón 'DVWA Security' en el menú de la izquierda. En esta página, puedes establecer el nivel de seguridad para el entorno de prácticas de DVWA (Bajo, Medio, Alto, Imposible). Elige el nivel deseado según tus necesidades y comienza tu práctica de pruebas de penetración.

Combinando ServBay y DVWA, puedes construir rápidamente un entorno de prácticas de ciberseguridad. ¡Tu viaje de principiante a profesional de la ciberseguridad está en marcha!