Penetračné testy preskúmajú vašu sieť

Penetračný test určuje možnosti útočníka vo vašej sieti. Možnosťami sú myslené princípy a postupy útokov; analyzu...


Penetračný test určuje možnosti útočníka vo vašej sieti. Možnosťami sú myslené
princípy a postupy útokov; analyzuje sa jak celková, tak čiastková bezpečnosť
siete, operačných systémov a ďalších sieťových zariadení. Skúma sa kvalita
útočníka a analyzujú sa jeho možnosti z pohíadu dostupnosti technológií a
nákladov.
Informácie sú to najcennejšie, čo mÖže spoločnosť mať. Musíme preto
spraviť všetko pre ich ochranu. Práve na podporu ochrany, konkrétne na
identifikovanie slabých miest v ochrane slúžia penetračné testy. Vykonávanie
penetračných testov má za cieí kontrolovane verifikovať bezpečnostné chyby,
ktoré mÖžu ovplyvniť funkcie systému, kritických aplikácií a iných technológií.
Penetračné testy nemÖžu byť videné ako komprehenzívne audity bezpečnosti celej
siete nemÖžu totiž analyzovať každú možnú slabinu systému. Testy prakticky
približujú a určujú body slabín bezpečnostnej infraštruktúry spoločnosti,
híadajú chyby a napomáhajú vyobraziť plán implementácie prostriedkov ochrany
založenej na zavedených prioritách spoločnosti. Práve tieto priority rozhodujú o
bezpečnostnej politike a množstve a razantnosti slabín bezpečnostného charakteru
operačných systémov a softwarov.

Ciele testu
Cielom penetračných testov je:
lVyhíadať, či útočník mÖže preniknúť do systému, a vyhodnotiť bez ďalších
informácií spoločnosti dosiahnuteínosť legitimity užívateía.
lStanoviť pravdepodobnosť, či špecifický systém mÖže byť otvorený pre útočníka s
určitými právami počítača pripojeného do siete spoločnosti.
lStanoviť bezpečnosť systému, nadobúdajúc schopnosť prekročiť práva normálneho
užívateía.
lPrevádzkovať evidenciu verifikovanej možnosti nájdenia zraniteíného miesta a
typu exploitu.
lStanoviť organizačný stupeň odhalenia útočníka na informačnú bezpečnosť
spoločnosti.

Oblasti použitia
Využitie penetračných testov má širokú oblasť využitia. U providerov zabezpečujú
non-stop konektivitu a služby súvisiace priamo s IT infraštruktúrou. Poskytujú
tu minimálne základne bezpečnostné mechanizmy.
Tak ako na verejných serveroch pripojených do internetu, tak aj u sieťových
zariadení ako sú routre, switche alebo wireless zariadenia zabezpečujú analýzy
stavu bezpečnosti, analýzy stavu konfigurácií a množstvo ďalších analýz.
Analyzujú bezpečnostné komponenty ako firewally, proxy, prístupové zariadenia
(autentizačné/autorizačné).
A nemÖžeme vynechať ani klientskú časť, ku ktorej radíme klientské počítače,
servere a zdieíané pracovné stanice.

Externé penetračné testy
Penetračné testy delíme na interné a na externé. U externých sa vykoná prienik
bezpečnostnými mechanizmami na hraniciach siete, mechanizmami prístupových bodov
k serverom alebo iným zariadeniam. Predpokladom je rola externého útočníka,
ktorý má iba verejne dostupné informácie. Vykoná sa aktívny útok na tieto
mechanizmy, pričom sa zameriavame na problémy s návrhom, inštaláciou a
konfiguráciou operačných systémov, komponentov a prvkov i softwaru.
Externý test obsahuje testy na získanie informácií, ktoré uskutočňujú pokusy
identifikácie, analýzy sieťovej topológie, analýzy operačného systému,
prevádzkovaných služieb, prístupových mechanizmov a bodov. Analyzuje sa
interakcia medzi systémami, sú realizované testy zraniteínosti, ktoré obsahujú
analýzy zistenia známych zraniteíných miest a ich využitie (zah+ňa zraniteíné
miesta príbuzne so službami legitímne prevádzkovanými systémom ako http, ftp,
smtp, imap, pop, dns, atď.).
Súčasťou sú aj testy týkajúce sa charakteristík siete a topológie pokusy
identifikácie a zraniteínosti miest príbuzných so sieťovou topológiou,
konfigurácia komponentov, návrh princípov a špecifikácia charakteristík
použitých protokolmi. Zah+ňa testy ako spoofing, špecifikuje testy protokolov,
testy IP konfigurácie a fragmetov, využitie bezpečnostných vzťahov medzi
komponentmi, testuje mechanizmy routovania, chyby v návrhu a implementácií
rÖznych sieťových protokolov a služieb, atď.
Realizujú sa aj testy spoíahlivosti konfigurácií pokusy identifikácie a využitia
typických chybných konfigurácií; testy pre známe backdoors pokusy identifikácie
a využitia známych backdoors v infraštruktúre spoločnosti; testy na
autentifikáciu, autorizáciu, prístup pokusy penetračnej autentizácie,
autorizácie, mechanizmov prístupov založených na bežných útokoch, ktoré
využívajú nedostatky presnej bezpečnostnej politiky alebo chyby v ich
aplikovaní. A zah+ňa aj slovníkové a brute-force útoky na heslá a využíva
slabiny autentizačných schém.

Interné penetračné testy
Predpokladom v tomto prípade je, že sa užívateí pripojil do siete spoločnosti.
Série útokov z tohto profilu mÖžu byť zamerané na prienik do bezpečnostných
sieti z vnútra spoločnosti.
Interné testy sú vykonávané s cieíom získať administrátorské práva, získať
privilégia niektorých špeciálnych užívateíov, ktorí mÖžu íubovoíne manipulovať s
dátami spracovávanými systémom, získať schopnosť manipulovať s dátami s využitím
iných procesov alebo užívateíov bez potreby získania privilégií a práv, získať
schopnosť vykonávať bežné operácie, preniknúť špecifickými prístupovými
obmedzeniami alebo auditovať mechanizmy operácií a užívateíov.

Dokumentácia a reporty
Kompletný report penetračného testu nehovorí len o chybách, ale chce čo najviac
vypovedať, ako sa brániť pred crackermi, hackermi z nájdených bezpečnostných
dier, označuje úroveň každého nájdeného problému. Export mÖže byť poskytnutý v
rozličných formátoch HTML, XML, text, atď. Pre lepšiu prehíadnosť je report
doplnený o grafické znázornenie.
Penetračný test je jednou z najlepších metód detailného odhalenia chýb a slabín,
pomáha IT špecialistom dosahovať ciele, riešiť problémy a zabezpečiť
nenarušiteíný chod systémov, serverov, kritických aplikácií a iných technológií.
I ten najbezpečnejší systém, či aplikácia má svoju slabinu. My ju potrebujeme
nájsť a eliminovať. Penetračné testy nie sú preto určené len na systémy ako
Windows, Linux atď., ale aj na rÖzne firewally, servere, služby, protokoly apod.
Penetračné testy majú tiež svoj životný cyklus. Ak dodržíme cyklus testov v
určitých pravidelných obdobiach (ktoré konkrétne na mieru navrhnú špecialisti
pre oblasť penetračných testov) a na základe výsledkov budeme implementovať
opravy, dosiahneme tak želanú vysokú bezpečnostnú úroveň systémov, serverov,
kritických aplikácií a iných technológií.
Autor je specialistom na bezpečnosť IT/IS spoločnosti Euro Financial Business
Group.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.