Sis­se­tun­gi­tes­tide (mida sageli ni­me­ta­takse pen-testideks) abil on võimalik kindlaks teha rünnaku tõenäosus teie võr­gus­ti­kule, seal­hul­gas võr­gus­tiku ük­si­ku­tele süs­teemi­dele ja konk­reet­se­tele ra­ken­dus­tele. Uurige, kuidas selliseid teste läbi viiakse ja mida need tä­hen­da­vad juba kasutusel oleva võr­gus­tiku jaoks.

Mis on sis­se­tun­gi­test?

IT-sektoris on sis­se­tun­gi­test mis tahes suurusega võrgu või üksikute arvutite vastu suunatud ka­van­da­tud rünnak, mille eesmärk on avastada turvaauke. Selleks ka­su­ta­takse erinevaid vahendeid, millega si­mu­lee­ri­takse erinevaid rün­na­ku­mustreid, mis on ku­jun­da­tud levinud rün­na­ku­mee­to­dite järgi. Sis­se­tun­gi­testi läbivad ta­va­li­selt järgmised kom­po­nen­did:

  • Võr­gu­ühen­dus elemendid, nagu ruuterid, lülitid ja väravad
  • Tur­va­vä­ra­vad, nagu tarkvara- ja riist­va­ra­tu­le­müü­rid, pa­kett­filt­rid, vii­ruse­tõr­jed, koormuse jaotajad, IDS ja IPS jne
  • Serverid, nagu vee­bi­ser­ve­rid, and­me­baasi­ser­ve­rid, fai­li­ser­ve­rid jne
  • Te­le­kom­mu­ni­kat­sioo­ni­süs­tee­mid
  • Kõik tüüpi vee­bi­ra­ken­dused
  • Inf­ra­struk­tuuri pai­gal­di­sed, nt juur­de­pääsu kont­rol­li­meh­ha­nis­mid
  • Süsteemi osaks olevadtraadita võrgud, nagu WiFi või Bluetooth

Testimine jaguneb ta­va­li­selt mus­ta­kasti-, val­ge­kasti- ja hal­li­kasti-tes­ti­miseks: mus­ta­kasti-testimise puhul antakse sis­se­tun­gi­tes­ti­ja­tele teavet ainult sihtvõrgu või -süsteemi aadressi kohta. Val­ge­kasti-testimise puhul on tes­ti­ja­tel põh­ja­li­kud teadmised süs­teemi­dest, mida nad hakkavad testima. Lisaks IP-aad­res­sile saavad nad teavet ka ka­su­ta­ta­vate tarkvara- ja riist­va­ra­kom­po­nen­tide kohta. Hal­li­kasti-testimine, mis on sis­se­tun­gi­tes­ti­mise levinuim vorm, ühendab endas mus­ta­kasti- ja val­ge­kasti-testimise meetodeid. Kät­te­saa­da­vaks tehakse põhiline teave IT-inf­ra­struk­tuuri kohta, näiteks süs­teemide ka­su­tusots­tarve ja nende üldine üles­ehi­tus.

Mida on vaja pe­netrat­sioo­ni­testi lä­bi­vii­miseks?

Kuidas luua oma võrgu jaoks ko­han­da­tud sis­se­tun­gi­test? Allpool leiate olulist teavet selle kohta, mida tuleb sis­se­tun­gi­testi lä­bi­vii­misel arvesse võtta.

Kuidas saan ma sis­se­tun­gi­testi jaoks ette val­mis­tuda?

Pe­netrat­sioo­ni­testi edukaks lä­bi­vii­miseks on oluline kõi­ge­pealt koostada selge plaan. Määrake kindlaks, milliseid kom­po­nente tuleb testida, kas teil on olemas kõik vajalikud vahendid ning milline on iga üksiku testi ja võrgu üldise hindamise ajakava.

Et­te­val­mis­tus­faas on veelgi olulisem, kui palkate väliseid testijaid ja soovite kasutada valge kasti testimise meetodit. Kui soovite kasutada just seda meetodit, peate andma tes­ti­mis­mees­kon­nale kogu teabe oma võrgu ja selle süs­teemide kohta ning ka süsteemi kohta ole­mas­oleva do­ku­men­tat­siooni. Musta kasti testimise puhul on protsess teist­su­gune. Selle meetodi korral peate avaldama vaid nende kom­po­nen­tide siht-aadressid, mida tuleb testida.

Note

Pe­netrat­sioo­ni­tes­ti­ja­tel peaksid olema eri­tead­mised sellistes olulistes teh­ni­lis­tes vald­kon­da­des nagu süs­tee­miad­mi­nist­ree­ri­mine, võr­gu­pro­to­kol­lid, prog­ram­mee­ri­mis­kee­led, IT-tur­be­too­ted, ra­ken­dus­süs­tee­mid ja võr­gu­kom­po­nen­did.

Millised on parimad vahendid sis­se­tun­gi­tes­tide lä­bi­vii­miseks?

Kuna rünnakuid on nii palju erinevaid, on mõistlik, et sis­se­tun­gi­tes­tide te­ge­miseks oleks kasutada palju erinevaid vahendeid. Mõned olu­li­se­mad neist on:

  • Por­di­s­kan­ne­rid: por­di­s­kan­ne­rid kasutavad spet­siaal­seid tööriistu, et tuvastada süsteemis avatud pordid.
  • Haa­va­ta­vuste skannerid: haa­va­ta­vuste skannerid uurivad süsteeme, et leida ole­mas­ole­vaid turvaauke, vigaseid kon­fi­gu­rat­sioone ning eba­pii­sa­vaid parooli- ja ka­su­ta­ja­po­lii­ti­kaid.
  • Snifferid: snifferit ka­su­ta­takse võr­gu­liik­luse ana­lüü­si­miseks. Mida tugevam on krüp­tee­ring, seda vähem teavet suudab sniffer koguda.
  • Pakettide ge­ne­ree­ri­jad: pakettide ge­ne­ree­ri­jad on töö­riis­tad, mida ka­su­ta­takse võr­gu­liik­luse andmete ge­ne­ree­ri­miseks või si­mu­lee­ri­miseks. See võimaldab sis­se­tun­gi­testi käigus võr­gu­liik­lust jäl­jen­dada.
  • Paroolide murdjad: pe­netrat­sioo­ni­tes­ti­jad kasutavad paroolide murdjaid, et saada kätte eba­tur­va­li­sed paroolid.

Paljud eespool loetletud töö­riis­tad on loodud spet­siaal­selt võr­gu­turbe testide jaoks ning on seetõttu ko­han­da­tud konk­reet­se­tele tes­ti­vald­kon­da­dele. Kuigi valdav enamus neist prog­rammi­dest pärineb avatud läh­te­koo­diga sektorist, on olemas ka mõned kom­merts­ra­ken­dused, mis on üldjuhul paremini do­ku­men­tee­ri­tud ja millele pakutakse põh­ja­likku IT-tuge.

Millised on sis­se­tun­gi­testi erinevad etapid?

Pe­netrat­sioo­ni­testi lä­bi­vii­mise protsessi võib jagada järg­miseks neljaks etapiks:

Võr­gus­tiku kont­sept­siooni lä­bi­vaa­ta­mine

Sis­se­tun­gi­test võib juba et­te­val­mis­tuse­ta­pis pal­jas­tada eba­kõ­la­sid või nõrkusi võrgu üles­ehi­tu­ses või üksikutes kom­po­nen­ti­des. Näiteks kui mitu rakendust on kon­fi­gu­ree­ri­tud erinevate juur­de­pää­su­grup­pi­dega, võib see kiiresti tekitada probleeme ja kujutada endast tur­va­riski kogu võrgule, isegi kui võrk ja üksikud seal töötavad prog­ram­mid on piisavalt kaitstud. Mõned neist juh­tu­mi­test on võimalik lahendada juba eelneva arutelu käigus, teised aga saab kindlaks teha vaid prak­ti­lise testi abil.

Testide tur­va­li­se­maks muutmise meetmed

Turvalise et­te­võt­te­võrgu aluseks on tagada, et võrgus ka­su­ta­ta­vad süsteemid oleksid või­ma­li­kult tur­va­li­sed. Pe­netrat­sioo­ni­testi käigus on oluline kont­rol­lida juba ra­ken­da­tud kait­se­meet­meid. See hõlmab pai­gal­da­tud tarkvara, nagu ope­rat­sioo­ni­süs­tee­mid, süs­tee­mi­tee­nu­sed ja ra­ken­dused, kont­rol­li­mist, mis peaksid alati olema aja­ko­ha­sed. Kui ka­su­ta­takse vanemaid versioone, kuna need on teiste ra­ken­dus­tega ühilduvad, tuleb süsteemi kaits­miseks võtta al­ter­na­tiiv­seid et­te­vaa­tus­abi­nõusid. Lisaks mängivad olulist rolli üksikute süs­teemide ja prog­rammide juur­de­pääsu- ja au­ten­ti­mise nõuded. Siin käsitleb pe­netrat­sioo­ni­test selliseid küsimusi nagu:

  • Ka­su­tus­õi­gu­sed
  • Paroolide ka­su­ta­mine ja krüp­tee­ri­mine
  • Ole­mas­ole­vate liideste ja avatud portide ka­su­ta­mine
  • Mää­rat­le­tud reeglid (nt tulemüüri reeglid)

Otsi tea­daole­vaid turvaauke

Tur­va­au­kude avas­ta­mine ei võta ta­va­li­selt palju aega, mistõttu on sis­se­tun­gi­tes­ti­jad üldjuhul kursis uuri­ta­vate objektide nõrkade kohtadega. Võr­gu­kom­po­nen­tide tur­va­li­se­maks muutmise käigus kogutud teabe abil ver­sioo­nide ja tark­varapa­ran­duste taseme kohta suudavad testijad kiiresti kindlaks teha, millised ra­ken­dused kujutavad endast tur­va­riski. Kui lühikese aja jooksul tuleb ana­lüü­sida palju süsteeme, võib abiks olla haa­va­ta­vuste skan­ne­rite ka­su­ta­mine, kuigi need ei anna alati täpset tulemust.

Ära­ka­su­tuste si­hi­pä­rane ka­su­ta­mine

Testija saab selgitada välja, kas avastatud turvaauke on võimalik ära kasutada, ainult neid te­ge­li­kult ära kasutades. Selliste rünnakute jaoks ka­su­ta­ta­vad käskude jadad on ta­va­li­selt eri­ne­va­test in­ter­ne­ti­al­li­ka­test saadud skriptid. Need ei ole aga alati tur­va­li­selt prog­ram­mee­ri­tud. Kui ka­su­ta­takse eba­tur­va­list ekspluati, on oht, et testitav rakendus või süsteem kukub kokku ja halvimal juhul võivad olulised andmed üle kir­ju­ta­tud saada. Seetõttu peaksid pe­netrat­sioo­ni­tes­ti­jad olema et­te­vaat­li­kud ja kasutama ainult usal­dus­väär­seid skripte mai­ne­ka­test al­li­ka­test või loobuma haa­va­ta­vuse tes­ti­mi­sest üldse.

Note

Tes­ti­mees­kond peaks kirja panema kõik pe­netrat­sioo­ni­testi etapid ja tulemused. Nii on teil parim alus üksikute etappide mõist­miseks ja olukorra hin­da­miseks. Soo­vi­ta­tud priori­tee­tide ni­me­kir­jade alusel saate oma süsteemi kaitsmise protsessi samm-sammult op­ti­mee­rida. Üldiselt soo­vi­ta­takse pe­netrat­sioo­ni­testi läbi viia vähemalt kord aastas.

Millised on sis­se­tun­gi­tes­tide plussid ja miinused?

Ühtsed ar­vu­ti­süs­tee­mid kuuluvad minevikku. Tänapäeva det­sent­ra­li­see­ri­tud IT-struk­tuu­rid võivad iga­päe­va­selt tekitada uusi turvaauke ja vigu. Kuigi tark­va­raa­ren­da­jad suudavad neid vigu mõnikord kiiresti parandada, võib selliste prob­leemide la­hen­da­mine mõnikord võtta veidi kauem aega.

Just siin tulevad lä­bi­mur­de­tes­tide tugevad küljed esile, pakkudes järgmisi eeliseid:

  • Pe­netrat­sioo­ni­tes­tid uurivad süsteeme palju põh­ja­li­ku­malt kui tavaline tur­va­kont­roll.
  • Pe­netrat­sioo­ni­tes­tide peamine eesmärk on kont­rol­lida, kui hästi üksikud kom­po­nen­did omavahel toimivad.
  • Välise testija abil saate lisaks teise arvamuse ning teist­su­guse vaate oma aluseks olevale tur­va­kont­sept­sioo­nile.
  • Pro­fes­sio­naal­sed pe­netrat­sioo­ni­tes­ti­jad on spet­siaal­selt koo­li­ta­tud ja lähenevad teie süs­tee­mile nagu häkker.

Sis­se­tun­gi­tes­ti­del, eriti koostööl väliste tes­ti­ja­tega, on aga ka oma puudused:

  • Pe­netrat­sioo­ni­testi lä­bi­vii­mise ajal on tes­ti­mees­kon­nal juur­de­pääs si­se­misele teabele ja prot­ses­si­dele.
  • Pe­netrat­sioo­ni­tes­tide puhul on alati olemas võimalus, et test võib põh­jus­tada pa­ran­da­ma­tut kahju.
  • Pe­netrat­sioo­ni­tes­tid annavad vaid het­ke­üle­vaate teie võr­gu­süs­teemi­dest ning seetõttu ei tohiks neid kunagi kasutada põh­jen­dus­ena ta­va­pä­raste tur­va­meet­mete ka­su­ta­mi­sest loo­bu­miseks.

Samuti on oluline meeles pidada, et tra­dit­sioo­ni­li­sed pe­netrat­sioo­ni­tes­tid ei hõlma sot­siaalse in­se­ne­riaga seotud riske. Paljud et­te­võt­ted pakuvad teenuseid selliste nõrkade kohtade tu­vas­ta­miseks ning kor­ral­da­vad ka eri­koo­li­tusi sot­siaalse in­se­ne­riaga seotud rünnakute en­ne­ta­miseks.

Go to Main Menu