S pomočjo testov pe­ne­tra­ci­je (pogosto ime­no­va­nih tudi »pen testi«) je mogoče ugotoviti ver­je­tnost napada na vaše omrežje, vključno s po­sa­me­zni­mi sistemi znotraj omrežja ter po­sa­me­zni­mi apli­ka­ci­ja­mi. Preberite, kako se taki testi izvajajo in kaj pomenijo za omrežje, ki je že v uporabi.

Kaj je te­sti­ra­nje varnosti?

V in­for­ma­cij­sko-teh­no­lo­škem sektorju je pe­ne­tra­cij­ski test načrtovan napad na omrežje katere koli velikosti ali posamezne ra­ču­nal­ni­ke, katerega cilj je odkriti ran­lji­vo­sti. Za dosego tega cilja se upo­ra­blja­jo različna orodja za si­mu­la­ci­jo različnih vzorcev napadov, ki so zasnovani na pogostih metodah napadov. Tipične kom­po­nen­te, na katerih se izvaja pe­ne­tra­cij­ski test, so:

  • Omrežni po­ve­zo­val­ni elementi, kot so usmer­je­val­ni­ki, stikala in prehodi
  • Varnostna vrata, kot so pro­gram­ski in strojni požarni zidovi, filtri paketov, pro­ti­vi­ru­sni skenerji, po­raz­de­lje­val­ni­ki obre­me­ni­tve, IDS in IPS itd.
  • Strežniki, kot so spletni strežniki, strežniki baz podatkov, datotečni strežniki itd.
  • Te­le­ko­mu­ni­ka­cij­ski sistemi
  • Vse vrste spletnih aplikacij
  • In­fra­struk­tur­ne naprave, npr. mehanizmi za nadzor dostopa
  • Brezžična omrežja, ki so del sistema, kot sta WiFi ali Bluetooth

Te­sti­ra­nje se običajno deli na te­sti­ra­nje črne škatle, bele škatle in sive škatle: pri te­sti­ra­nju črne škatle imajo pe­ne­tra­cij­ski testirani na voljo le podatke o naslovu ciljnega omrežja ali sistema. Pri te­sti­ra­nju bele škatle imajo testirani obsežno znanje o sistemih, ki jih bodo testirali. Poleg IP-naslova prejmejo tudi podatke o upo­ra­blje­nih pro­gram­skih in strojnih kom­po­nen­tah. Te­sti­ra­nje sive škatle, ki je naj­po­go­stej­ša oblika pe­ne­tra­cij­ske­ga te­sti­ra­nja, združuje metode te­sti­ra­nja črne in bele škatle. Na voljo so osnovne in­for­ma­ci­je o IT-in­fra­struk­tu­ri, kot so namen sistemov in njihova splošna sestava.

Kaj po­tre­bu­jem za te­sti­ra­nje varnosti?

Kako lahko pri­pra­vi­te pri­la­go­jen test vdorov za svoje omrežje? V na­da­lje­va­nju boste našli ključne in­for­ma­ci­je o tem, kaj morate upo­šte­va­ti pri izvajanju testa vdorov.

Kako se lahko pripravim na te­sti­ra­nje varnosti?

Za uspešno izvedbo pe­ne­tra­cij­ske­ga te­sti­ra­nja je pomembno, da najprej pri­pra­vi­te jasen načrt. Ugotovite, katere kom­po­nen­te je treba testirati, ali imate na voljo vsa potrebna orodja ter kakšen je časovni okvir za vsak posamezni test in za celotno oceno vašega omrežja.

Pri­pra­vljal­na faza je še toliko bolj pomembna, če najemate zunanje pre­iz­ku­še­val­ce in želite uporabiti metodo »white box« te­sti­ra­nja. Če se odločite za to metodo, boste morali pre­iz­ku­še­val­ni ekipi po­sre­do­va­ti vse in­for­ma­ci­je o vašem omrežju in sistemih ter vso do­ku­men­ta­ci­jo, ki jo imate za svoj sistem. Pri »black box« te­sti­ra­nju je postopek drugačen. Pri tej metodi boste morali razkriti le ciljne naslove komponent, ki jih je treba pre­iz­ku­si­ti.

Note

Osebje, zadolženo za te­sti­ra­nje varnosti, mora imeti strokovno znanje na ključnih tehničnih področjih, kot so sistemsko upra­vlja­nje, omrežni protokoli, pro­gram­ski jeziki, izdelki za in­for­ma­cij­sko varnost, apli­ka­cij­ski sistemi in omrežne kom­po­nen­te.

Katera so najboljša orodja za te­sti­ra­nje varnosti?

Ker obstaja toliko različnih vrst napadov, je smiselno, da imamo na voljo veliko različnih orodij za te­sti­ra­nje varnosti. Med naj­po­memb­nej­ši­mi so:

  • Skenerji vrat: skenerji vrat upo­ra­blja­jo spe­ci­a­li­zi­ra­na orodja za od­kri­va­nje odprtih vrat v sistemu.
  • Skenerji ran­lji­vo­sti: skenerji ran­lji­vo­sti pre­gle­du­je­jo sisteme, da bi odkrili obstoječe varnostne ran­lji­vo­sti, napačne kon­fi­gu­ra­ci­je ter ne­u­stre­zne politike glede gesel in upo­rab­ni­kov.
  • Snifferji: sniffer se uporablja za analizo omrežnega prometa. Močnejše je ši­fri­ra­nje, manj in­for­ma­cij bo lahko zbral.
  • Ge­ne­ra­tor­ji paketov: ge­ne­ra­tor­ji paketov so orodja, ki se upo­ra­blja­jo za ge­ne­ri­ra­nje ali si­mu­la­ci­jo podatkov omrežnega prometa. To omogoča po­sne­ma­nje omrežnega prometa med testom pe­ne­tra­ci­je.
  • Lomilci gesel: pe­ne­tra­cij­ski testerji upo­ra­blja­jo lomilce gesel kot način za pri­do­bi­va­nje gesel, ki niso varna.

Mnoga od zgoraj navedenih orodij so bila izrecno razvita za te­sti­ra­nje varnosti omrežij in so zato pri­la­go­je­na posebnim področjem te­sti­ra­nja. Čeprav velika večina teh programov izhaja iz od­pr­to­ko­dne­ga sektorja, obstajajo tudi nekatere ko­mer­ci­al­ne varnostne apli­ka­ci­je, ki so na splošno bolje do­ku­men­ti­ra­ne in vklju­ču­je­jo celovito IT-podporo.

Kateri so posamezni koraki pri te­sti­ra­nju varnosti?

Postopek te­sti­ra­nja pri pe­ne­tra­cij­skem te­sti­ra­nju lahko razdelimo na naslednje štiri korake:

Pregled koncepta omrežja

Test pe­ne­tra­ci­je lahko že v pri­pra­vljal­ni fazi odkrije neskladja ali šibke točke v zasnovi omrežja ali po­sa­me­znih komponent. Če so na primer več aplikacij kon­fi­gu­ri­ra­ne z raz­lič­ni­mi skupinami dostopa, lahko to hitro povzroči zaplete in pred­sta­vlja varnostno tveganje za celotno omrežje, četudi so omrežje in posamezni gostovani programi ustrezno zaščiteni. Nekatere od teh težav je mogoče rešiti že med pred­ho­dnim pogovorom, druge pa je mogoče potrditi šele z izvedbo prak­tič­ne­ga testa.

Ukrepi za zaščito pred zlorabo

Za­go­ta­vlja­nje čim večje varnosti sistemov v omrežju je ključnega pomena za varnost pod­je­tni­ške­ga omrežja. Med pe­ne­tra­cij­skim te­sti­ra­njem je pomembno preveriti že sprejete zaščitne ukrepe. To vključuje pre­ver­ja­nje nameščene pro­gram­ske opreme, kot so ope­ra­cij­ski sistemi, sistemske storitve in apli­ka­ci­je, ki morajo biti vedno po­so­do­blje­ne. Če se zaradi zdru­žlji­vo­sti z drugimi apli­ka­ci­ja­mi upo­ra­blja­jo starejše različice, morate sprejeti al­ter­na­tiv­ne varnostne ukrepe za zaščito sistema. Poleg tega imajo pomembno vlogo tudi zahteve glede dostopa in av­ten­ti­fi­ka­ci­je za posamezne sisteme in programe. Pri tem se pe­ne­tra­cij­sko te­sti­ra­nje ukvarja z vprašanji, kot so:

  • Dostopne pravice
  • Uporaba gesla in ši­fri­ra­nje
  • Uporaba ob­sto­je­čih vmesnikov in odprtih vrat
  • Določena pravila (npr. pravila požarnega zidu)

Iskanje znanih ran­lji­vo­sti

Od­kri­va­nje var­no­stnih ran­lji­vo­sti ponavadi ne traja dolgo, zato so testarji pe­ne­tra­cij­skih testov običajno se­zna­nje­ni z ran­lji­vost­mi te­sti­ra­nih sistemov. Na podlagi podatkov o stanju različic in stopnji po­so­do­bi­tev, ki so jih testarji zbrali med pre­u­če­va­njem zaščite omrežnih komponent, lahko hitro ugotovijo, katere apli­ka­ci­je pred­sta­vlja­jo varnostno tveganje. Če je treba v kratkem času ana­li­zi­ra­ti veliko sistemov, je lahko uporaba skenerjev ran­lji­vo­sti v pomoč, čeprav ti ne za­go­ta­vlja­jo vedno natančnih re­zul­ta­tov.

Ciljna uporaba var­no­stnih ran­lji­vo­sti

Pre­iz­ku­še­va­lec lahko ugotovi, ali je mogoče odkrite ran­lji­vo­sti iz­ko­ri­sti­ti ali ne, le tako, da jih dejansko izkoristi. Zaporedja ukazov, ki se upo­ra­blja­jo za takšne iz­ko­ri­šča­nja, so običajno skripti, pri­do­blje­ni iz različnih in­ter­ne­tnih virov. Ti pa niso vedno varno napisani. Če se izvede ne­za­va­ro­va­no iz­ko­ri­šča­nje, obstaja tveganje, da bo apli­ka­ci­ja ali sistem, ki se testira, doživel sesutje, v naj­slab­šem primeru pa se lahko pomembni podatki prepišejo. Zato morajo pe­ne­tra­cij­ski testerji biti previdni in upo­ra­blja­ti le za­ne­slji­ve skripte iz uglednih virov ali pa se te­sti­ra­nja ran­lji­vo­sti sploh vzdržati.

Note

Ekipa za te­sti­ra­nje mora za­be­le­ži­ti vse korake in rezultate pe­ne­tra­cij­ske­ga testa. Tako boste imeli najboljšo podlago za ra­zu­me­va­nje po­sa­me­znih korakov in oceno stanja. Na podlagi pri­po­ro­če­nih seznamov pred­no­stnih nalog lahko postopek zaščite vašega sistema postopoma op­ti­mi­zi­ra­te. Na splošno se priporoča, da pe­ne­tra­cij­ski test izvedete vsaj enkrat letno.

Kakšne so prednosti in slabosti te­sti­ra­nja varnosti s prodorom?

Enotne ra­ču­nal­ni­ške strukture so stvar pre­te­klo­sti. Današnje de­cen­tra­li­zi­ra­ne IT-strukture lahko vsak dan pov­zro­ča­jo nove ran­lji­vo­sti in napake. Čeprav lahko raz­vi­jal­ci pro­gram­ske opreme te napake včasih hitro odpravijo, jim včasih za rešitev takšnih težav vzame malo več časa.

Prav tu se pokažejo prednosti te­sti­ra­nja varnosti, ki prinaša naslednje prednosti:

  • Pe­ne­tra­cij­ski testi sisteme preučijo veliko po­drob­ne­je kot običajni varnostni pregledi.
  • Osnovni cilj pe­ne­tra­cij­ske­ga te­sti­ra­nja je preveriti, kako dobro posamezne kom­po­nen­te delujejo skupaj.
  • Z zunanjim pre­iz­ku­še­val­cem dobite dodatno mnenje ter drugačen pogled na vaš osnovni varnostni koncept.
  • Pro­fe­si­o­nal­ni pe­ne­tra­cij­ski testerji so posebej uspo­so­blje­ni in se vašega sistema lotevajo tako, kot bi to storil heker.

Testi pe­ne­tra­ci­je, zlasti pa so­de­lo­va­nje z zunanjimi pre­iz­ku­še­val­ci, pa prinašajo tudi svoje slabosti:

  • Med iz­va­ja­njem pe­ne­tra­cij­ske­ga te­sti­ra­nja ima testna ekipa dostop do notranjih podatkov in procesov.
  • Pri pe­ne­tra­cij­skih testih vedno obstaja možnost, da test povzroči ne­po­pra­vlji­vo škodo.
  • Pe­ne­tra­cij­ski testi za­go­ta­vlja­jo le trenutni vpogled v vaše omrežne sisteme in zato nikoli ne smejo biti razlog za opustitev običajnih var­no­stnih ukrepov.

Prav tako je pomembno upo­šte­va­ti, da tra­di­ci­o­nal­ni testi varnosti ne oce­nju­je­jo tveganj, povezanih s socialnim in­že­ni­rin­gom. Mnoga podjetja ponujajo storitve za od­kri­va­nje takšnih ran­lji­vo­sti ter or­ga­ni­zi­ra­jo posebna uspo­sa­blja­nja o tem, kako pre­pre­či­ti napade so­ci­al­ne­ga in­že­ni­rin­ga.

Go to Main Menu