• پایان فعالیت بخشهای انجمن: امکان ایجاد موضوع یا نوشته جدید برای عموم کاربران غیرفعال شده است

مقالات هک و امنیت : تست نفوذ چیست؟

panasonic.ir

Registered User
تاریخ عضویت
2 سپتامبر 2013
نوشته‌ها
298
لایک‌ها
51
محل سکونت
تهران
id06_top_pic.jpg



تست نفوذ چیست؟

تست نفوذ پذیری رویه ای است که درآن میزان امنیت اطلاعات سازمان شما مورد ارزیابی قرار می گیرد. یک تیم مشخص با استفاده از تکنیک های هک یک حمله واقعی را شبیه سازی می کنند تا به این وسیله سطح امنیت یک شبکه یا سیستم را مشخص کنند. تست نفوذ پذیری به یک سازمان کمک می کند که ضعف های شبکه و ساختارهای اطلاعتی خود را بهتر بشناسد و در صدد اصلاح آنها بر آید. این امر به یک سازمان کمک می کند تا در زمینه تشخیص، توانایی پاسخ و تصمیم مناسب در زمان خود، بر روی امینیت نیروها و شبکه خود یک ارزیابی واقعی داشته باشد. نتیجه این تست یک گزارش می باشد که برای اجرایی شدن و بازرسی های تکنیکی مورد استفاده قرار می گیرد.
چرا تست نفوذپذیری؟ چرا شما به آن نیاز دارید؟
دلایل مختلفی وجود دارد که یک سازمان تست نفوذ پذری را انتخاب می کند. این دلایل می تواند از مسایل تکنیکی تا مسایل تجاری طبقه بندی گردند. اما برخی از عمومی ترین مسایل آن به صورت زیر می باشد :
مشخص کردن خطرات و ریسک هایی که سرمایه های اطلاعاتی سازمان شما با آنها مواجهه می شوند. در اصل شما می توانید با ریسک های اطلاعاتی خود آشنا شوید و سپس برای آنها به مقدار مورد نیاز هزینه کنید.
کاهش هزینه های امنیتی سازمان شما : با مشخص کردن نقاط ضعف و آسیب پذیری های سیستم های اطلاعاتی خود به مقدار قابل توجهی از هزینه های صرف شده برای امنیت، می کاهید ، زیرا که ممکن است آسیب پذیری ها و ضعف هایی در زیرساخت های تکنولوژیکی و یا ضعف های طراحی و پیاده سازی وجود داشته باشد که در تست نفوذپذیری مشخص می شوند.
ضمانت و آسودگی خاطر را برای سازمان شما به ارمغان می آورد – یک ارزیابی دقیق و کامل از امنیت سازمان شما ، کل سیاستها (Policy ) ، روالها، طراحی و پیاده سازی آن را پوشش می دهد.
دستیابی و نگهداری گواهینامه ها (BS۷۷۹۹ ، HIPAA و … )
بهترین رویه برای تست آیین نامه های صنایع و قوانین حاکم بر آن
یک سرویس را انتخاب کنید:
چه تفاوتی بین انواع تست نفوذ مختلف وجود دارد؟
الف) تست نفوذپذیری بیرونی ( External Penetration Testing ) :
یکی از عمومی ترین ره آوردهای تست نفوذپذیری می باشد. این تست روی سرور ها، زیر ساخت های شبکه و زیر ساختهای نرم افزارهای سازمان انجام می گیرد. این تست ممکن است بدون دریافت هیچگونه اطلاعاتی از سازمان مورد نظر صورت گیرد ( جعبه سیاه – Black Box ) یا با دریافت کلیه اطلاعات توپولوژیکی و محیطی صورت گیرد ( جعبه شفاف – Crystal Box ). این تست ابتدا با استفاده از اطلاعات عمومی و در دسترس از سازمان مورد نظر شروع می شود و سپس با شناسایی میزبانها و سرور های شبکه هدف و تجزیه و تحلیل آن ادامه پیدا می کند. در ادامه رفتارهای ابزارهای امنیتی مانند مسیریابها و دیواره های آتش تجزیه و تحلیل می گردند. آسیب پذیری های موجود برای هر میزبان شبکه مشخص و بازبینی می گردند و دلایل آن نیز مشخص می شود.
ب) ارزیابی امنیتی داخلی (Internal Security Assessment) :
روالی مانند تست بیرونی دارد اما یک دید کامل تری نسبت به مسایل امنیتی سازمان ارائه می دهد. این تست عموما از شبکه های Access Point و بازدید و مرور دوباره قسمتهای فیزیکی و منطقی شبکه انجام می گیرد. برای نمونه ممکن است لایه های شبکه، DMZ درون شبکه و شبکه های شرکاء که با شبکه شما مرتبط می باشند نیز مورد بررسی و تست قرار گیرد.
پ) ارزیابی امنیتی برنامه های کابردی (Application Security Assessment)
این تست روی تمامی برنامه های کاربردی اختصاصی و غیر اختصاصی سازمان هدف انجام می گیرد و در طی آن تمامی خطرات این برنامه ها مشخص می شود. برای مثال نباید این برنامه ها، پتانسیل این را داشته باشند که اطلاعات حساس سازمان را در معرض عموم قرار دهند. این ارزیابی مهم و حیاتی می باشد و در طی آن باید بدانیم که اولا؛ این برنامه های کاربردی ، نرم*افزارها و سرور های شبکه را در معرض خطر قرار نمی دهند. دوم اینکه یک کاربر خرابکار نمی*تواند به داده های حیاتی دسترسی داشته باشد و آنها را تغییر دهد یا خراب کند.
حتی در شبکه هایی که دارای زیر ساختهای قوی و قدرتمندی می باشند، یک برنامه کاربردی ناقص و آسیب پذیر می تواند کل شبکه را در معرض خطر قرار دهد.
ت) ارزیابی امنیتی شبکه های بیسیم و دسترسی های از راه دور (Remote Access)
در اصل ارزیابی خطرهایی می باشد که سیستم های سیار را در بر دارد. کار در خانه، با پهنای باند بالا از طریق اینترنت، استفاده از شبکه های بیسیم ۸۰۲.۱۱ و تکنولوژی های دسترسی از راه دور را به صورت گسترده ای افزایش داده است. طراحی و معماری امن اینگونه شبکه ها بسیار مهم و حیاتی می باشد و باید از ریسک ها و خطرهای آنها به صورت کاملی آگاه شویم.
ث) مهندسی اجتماعی (Social Engineering)
اشاره دارد به نفوذ هایی که از راه*های غیر تکنیکی انجام می شود. این بخش به طور کلی روی ارتباطات افراد و کارکنان سازمان تکیه دارد و مشخص می کند چگونه مسایل انسانی سازمان می توانند مسایل امنیتی آن را در معرض خطر قرار دهند و باعث شکسته شدن برخی روال های امنیتی گردند.
مهندسی اجتماع با استفاده از ایجاد روابط قابل اعتماد و دوستانه با اشخاص سازمان و با نمایش قصد کمک به طرف مقابل، اطلاعات حساس امنیتی از جمله کلمات رمز و نام کاربری او را دریافت می کند. موارد دیگر نیز به «آشغال گردی» موسوم است که در آن با جستجو در آشغالهای سازمان مورد نظر، به دنبال اطلاعات حساس و مهم می گردند. همچنین مسایل روان شناختی افراد برای حدس زدن کلمات رمز و … نیز جزو این بخش از کار می باشد.
انواع ره آوردهای مختلف در تست نفوذ :
تست جعبه سیاه (Black Box) و تست جعبه سفید (White Box)

تست نفوذ پذیری به دو صورت مختلف می تواند انجام گیرد: «جعبه سیاه» (بدون دریافت هیچگونه دانش اولیه برای تست) و «جعبه سفید » (دریافت کلیه اطلاعات زیر ساختی برای تست ، تست جعبه سیاه و سفید )
معمولا شرکت هایی که کار تست نفوذ را انجام می دهند از شما می*خواهند که یکی از موارد فوق را انتخاب کنید. اما تست جعبه سیاه به نظر بهترین انتخاب می باشد ، زیرا که یک شبیه سازی حقیقی از حمله یک هکر را پیاده سازی می کند. این یک ایده بسیار جالبی می باشد اما به طور دقیقی درست نیست. اولا اینگونه فرض کردیم که هکر هیچگونه اطلاعاتی از سیستم های شما ندارد ، که همیشه اینگونه نیست! اگر به طور واقعی یک هکر ، سازمان شما را هدف قرار دهد اینگونه نیست که هیچگونه اطلاعاتی از سیستم ها و شبکه داخلی سازمان نداشته باشد ( فرض کنید هکر یکی از کارکنان سازمان شما باشد). البته در هر کدام از این موارد باید خطاهایی را نیز به صورت پیش فرض قبول کنیم. در اصل باید اینگونه فرض کرد که هکر اطلاعات کاملی از سیستم های شما را دارد زیرا که اگر امنیت شما بر اساس پنهان کردن طراحی شبکه باشد بنابراین از لحاظ امنیتی شبکه شما هیچ وقت نباید قابل لمس باشد که این غیر ممکن است! دوم اینکه بر خلاف یک تست کننده شبکه، یک هکر از لحاظ زمانی محدود نیست و محدودیت هایی که برای یک تست کننده وجود دارد برای یک هکر وجود ندارد. به عنوان مثال یک مهاجم ممکن است زمان زیادی (بعضی مواقع بیش از یک سال) را صرف کند تا یک آسیب پذیری را در سیستمی پیدا کند و توسط آن به شبکه نفوذ کند.

سوالی که در اینجا مطرح می شود این است که این تست چه مقدار هزینه در بردارد؟ در تست جعبه سیاه مهم آن است که تیم تست کننده باید به مقدار قابل توجهی زمان صرف شناسایی شبکه هدف کند. این زمان ممکن است حتی بیش از زمانی باشد که صرف تست آسیب پذیری ها می گردد.
اینگونه نیست که بگوییم تست جعبه سیاه هیچ هزینه ای در برندارد ، حتما هزینه هایی را در بر دارد. این مساله خیلی مهم است که تست کننده اطلاعاتی را درباره سیستم هایی که ممکن است توسط افراد دیگر مورد سوءاستفاده قرار گیرد را به دست آورد. پس حتما در تست جعبه سیاه باید زمان بیشتری برای انجام تست در نظر گرفت.

در جوامع امروزي، تلاش براي بهبود وضعيت كنوني (در هر زمان و مكان و هر موقعيتي) به يك اصل تبديل شده است. در واقع يكي از اصول مهم در تمامي سطوح و گرايشهاي كليه استانداردها، در پيش گرفتن فرآيندهايي است كه بهبود وضعيت را در پي داشته باشد. بخصوص اين امر در تكنولوژي اطلاعات يكي از اصول تخطي ناپذير و غير قابل اجتناب است. حال اگر وارد حيطه شبكه هاي كامپيوتر و نيز نرم افزارهاي گوناگون شويم، بايد براي اين فرآيند، راههاي متناسب با آن را در اتخاذ كنيم. يكي از عمومي ترين و مهمترين اي راه حلها در اين بخش ، استفاده از فرآيند تست نفوذ است.

نفوذ كردن به شبكه هاي كامپيوتري و دسترسي به منابع يك شبكه، در حالت معمول، امري غير قانوني تلقي مي شود. اما يك متخصص امنيت، با بستن قراردادي با صاحبان و مديران شبكه و يا يك نرم افزار ، علاوه بر قانوني كردن آن، نتايج آن را به نفع شما باز مي گرداند. او از ديد يك هكر به برنامه يا شبك شما نگريسته و تلاش مي كند تا كليه مشكلات و شكافهاي امنيتي آن را شناسايي و به شما ارائه دهد. بدين وسيله، شما با رفع اين معايب، علاوه بر بالابردن ميزان امنيت سرويسهاي خود و جلب رضايت بيشتر مشتريان، راه را بر نفوذگران مخرب سد مي كنيد.

استانداردهای تست نفوذ

موسسه نورانت برای انجام تست نفوذ از استاندارد های زیر استفاده می کند

  • ISO/IEC 27001
  • ISO/IEC 27002
  • OSTTMM (Open Source Security Testing Methodology Manual)
  • OWASP (Open Web Application Security Project) 2013
  • LPT (Licensed Penetration Tester methodology from EC-Council)

کلیه ابزارهای که در طول پروژه از آنها استفاده می شود ابزارهای استاندارد بوده و به هیچ عنوان آسیبی به سیستم ها وارد نخواهد نکرد .

روش های تست نفوذ

White Box : در این حالت تیم تست نفوذ اطلاعات کامل در باره موضوع مورد تست دارد و همچنین دسترس به منابع داخلی شبکه نیز دارد. معمولا از این نوع تست برای ارزیابی آسیب پذیری های داخل شبکه استفاده می شود .
Gray Box : در این حالت دسترسی به منابع داخلی محدود می باشد و اطلاعات کاملی در اختیار تیم قرار نمی گیرد.
Black Box: در این حالت هیچ گونه دسترسی و اطلاعاتی به تیم تست نفوذ داده نمی شود .معمولا این نوع تست نفوذ برای وب سرور ها و برنامه های کاربردی تحت وب انجام می شود .

ارزیابی آسیب پذیری های وب سرور و برنامه های تحت وب

حفظ امنیت خدمات وب، یکی از نگرانی های اصلی دنیای امروز است. زیر ساخت های امنیتی شبکه های سنتی که در حال حاضر هم وجود دارند، برای تامین امنیتی که صفحات و خدمات وب به آن نیاز دارند، به هیچ وجه کافی نیست.در پروسه ارزيابي امنيتي خدمات تحت وب،تلاش مي شود تا تهديدات ،آسيب پذيريها و ريسكهاي مرتبط با زيرساخت خدمات تحت وب
سازمان شما،كاملا شناسايي شوند. اين پروسه با شناسايي سيستماتيك و مستند سازي نيازهاي امنيتي آغاز مي گردد. در مرحله بعد، با کمک مدل ضد تهدید، تهدیدات بالقوه را شناسایی کرده و آنها را اولویت بندی خواهیم کرد. در مرحله آخر هم تمامی وجوه امنیتی از دیدگاه طراحی، پیاده سازی مورد ارزيابي قرار مي گيرند كه اين امور شامل محرمانگي، درستي و صحت، ارتباطات مورد اطمينان، و احراز هويت با استفاده از استانداردهاي امنيتي از قبيل امضاهاي XML ،كدگذاري XML و SAML and WS-Security مي گردد.
موارد ذیل که جز رایج ترین آسیب پذیری برنام های کاربردی تحت وب می باشد به صورت مجزا و به شکل دستی و اتوماتیک بر روی کلیه برنامه های کاربردی تحت وب چک می شوند
Directory Traversal (Web Server)

Parameter tampering

XSS

Path Disclosure

Cross Site Request Forgery

Command Injection

Broken Authentication and Session Management

Injection Flaw

Cookie Poising

Malicious File Execution

Obfuscation Application

Authentication Hijacking

Broken Session Management

Information Leakage

sec-one.jpg
 
بالا