Penetrační testy v bezpečnostní analýze informačního systému

Filip Weber Tutoriály 28. října 2007

Penetrační testy tvoří důležitou součást bezpečnostní analýzy. Za použití různých nástrojů jsou prováděny pokusy proniknout do různých částí informačního systému zvenčí či zevnitř. Výsledkem těchto testů je odhalení slabých míst v ochraně informačního systému.

Penetrační testy jsou v podstatě napodobení útoku hackera. Útok může být směrován jak z vnější sítě (typicky z Internetu) na servery umístěné v DMZ (demilitarizované zóně) nebo na vnější rozhraní firewallu, tak i z vnitřku na síťovou infrastrukturu nebo zranitelné servery.  Průnik z vnitřku do systému může být veden fyzicky přítomným hackerem, kterému se podařilo připojit vlastní počítač do interní sítě nebo získat fyzický přístup k počítači ve Vaší síti. Průnik ale může být veden i metodou tzv.“sociálního inženýrství průniku“, kdy hacker zneužije důvěřivosti uživatele či použije jinou netechnickou metodu a tím získá přístup, který mu samozřejmě nenáleží, nachytá běžného uživatele a podsune mu spustitelný kód, pomocí kterého převezme vládu nad jeho počítačem. Tento přístup pak může využít k získání citlivých dat či vedení dalšího útoku. Útoky pak mohou způsobit tyto škody:

  1. Nedostupnost služby - tzv. DoS či DDoS útoky (Denial of Service či Distributed Denial of Service) - způsobí, že služba, na kterou byl útok veden, přestane obsluhovat legitimní požadavky uživatelů - může dojít i k "zatuhnutí", případně restartu serveru apod.
  2. Neoprávněný přístup - výsledkem útoku může být situace, kdy útočník získá neoprávněný přístup k zařízení, serveru, službě či datům, a to mu následně umožní provádět neautorizované změny v konfiguraci, mazání nebo modifikaci souborů apod. Často bývá takto napadený server využíván jako základna pro provádění útoků na další zařízení.
  3. Získání důvěrných informací - výsledkem útoku může být získání citlivých informací - např. seznam uživatelských jmen a hesel, účetnictví, ceníků, mezd apod.

Penetrační testy tvoří důležitou součást bezpečnostní analýzy. Za použití různých nástrojů jsou prováděny pokusy proniknout do různých částí informačního systému zvenčí či zevnitř. Výsledkem těchto testů je odhalení slabých míst v ochraně informačního systému, uložených dat a infrastruktury testovaného subjektu. Samozřejmě pak následuje definice existujících rizik. Penetrační testy ve své podstatě vyhledávají a aplikují metody pro napadení informačního systému tak, jak by k tomu mohlo potenciálně dojít při projevech počítačové kriminality. Tyto aktivity mají za účel prověřit zabezpečení informačního systému vůči napadení a současně ukázat analyzované organizaci, kde existují slabá místa a kudy může být informační systém napaden. Slabá místa v informačním systému jsou hackery trvale vyhledávána a používané systémy jsou testovány na možnosti napadení. Aby bylo možno čelit jejich útokům, je nutné velmi podrobně sledovat a testovat informační technologie podobným způsobem.

Při bezpečnostních testech infrastruktury je potřeba se zejména zaměřit na:

  1. penetrační testy vnitřní i vnější (scanning, sniffing, redirecting)
  2. zkušební útoky
  3. analýzu zranitelnosti firewallů
  4. kontrolu bezpečnostních pravidel mezi zónami firewallů
  5. analýzu zranitelnosti aktivních prvků
  6. analýzu zranitelnosti operačních systémů na serverech a stanicích
  7. analýzu systému zálohování

Testy se provádějí na základě expertních zkušeností metodou "etického hackingu" a ve shodě s normami ČSN ISO/IEC TR 13335 a ČSN ISO/IEC 17799.

Při penetračních testech jsou především prováděny následující zkoušky:

  1. firewally - Dos útoky, změny směrování, zranitelnost
  2. Backdoory - programy umožňující získání kontroly nad počítačem
  3. CGI scripty - získání plné kontroly www nad serverem
  4. DNS systémy - předstíráním identity síťového zařízení
  5. mailové systémy – spam
  6. ftp systémy - neautorizovaný přístup k souborovému systému a převzetí kontroly nad serverem
  7. LDAP systémy - zneužití adresářové služby LDAP (Lightweight Directory Access Protocol)
  8. síťové odposlouchávání - špatná konfigurace aktivních prvků či nevhodný design infrastruktury umožní síťové odposlouchávání
  9. NFS systémy - neautorizovaný přístup k souborovému systému a převzetí kontroly nad serverem (Network File System)
  10. systémy založené na RPC -vzdálené volání procedur (Remote Procedure Call)
  11. systémy se sdílením zdrojů - získání neautorizovaného přístupu (Samba, SMB)
  12. SNMP systémy - bezpečnostních díry v implementaci Simple Network Management Protocolu v aktivních prvcích sítě

Získané znalosti mají další využití pro sledování, testování a výběr nástrojů ochranu před neoprávněným přístupem (Firewall) a pro automatizovanou detekci a zabránění pokusu o napadení informačního systému (Intrusion Prevention System).

Složitým rozhodnutím bývá správný okamžik pro penetrační testy. Řada společností penetrační testy odkládá pod záminkami, jako až bude nový firewall, máme webovou prezentaci hostovanou a do sítě nám přichází pouze emaily, máme čerstvě vybudovaný systém, a ten je přeci v pořádku, máme pravidelně aktualizovaný antivir. To jsou velmi naivní tvrzení, na penetrační testy je čas kdykoliv a je více než vhodné je pravidelně opakovat. Vždyť napadení počítačů a odepření jejich služby může nastat kdykoliv, třeba jen lavinovým rozšířením infikovaného emailu. Nebo třeba zprávou Skype s linkem na kliknutí. Ta přijde od známé a důvěryhodné osoby, a protože komunikace Skype je šifrována, tak nedojde k její kontrole antivirovým programem a hromadné nakažení počítačů je dílem okamžiku. Toto je však možné jen díky neexistenci, či flagrantnímu porušování bezpečnostní politiky. I takovéto situace lze technicky ošetřit, ale bohužel to není běžné.

V případě, že už máte nasazen systém IPS, udělali jste opravdu hodně pro zabezpečení sítě. I když není systém IPS samospasný, je to v dnešní době velmi účinný prostředek pro ochranu a prevenci v síti. Je důležité mít na paměti, že IPS je další částí zabezpečení Vaší sítě. Rozhodně nenahrazuje firewall, antivir či další prvky zabezpečení Vaší sítě. I v takovém případě je ale vhodné udělat penetrační test systému IPS.

Při testech IPS se sleduje především:

  1. Zhodnocení nasazení IPS vzhledem k analýze rizik.
  2. Zhodnocení procedur pro rekonfiguraci IPS, (false positives, filtry, změna závažnosti signatury).
  3. Zhodnocení procedur pro aktualizaci signatur.
  4. Zhodnocení znalostní báze incidentů a procedur pro reportování incidentů.
  5. Zhodnocení nastavení korelace s ostatními systémy.
  6. Zhodnocení, kde jsou v síti umístěny kritické prvky a kde chce organizace začít s detekcí.
  7. Zhodnocení komplexního řešení incidentů.
  8. Zkušební přenos infikovaného vzorku dat.
  9. Odolnost na DDoS (Distributed Denial of Service – odepření služby). Tento test je velmi náročný na technické vybavení, útok musí být proveden dostatečným množstvím současně otevřených TCP session a k tomu je potřeba velké množství současně útočících počítačů.
  10. Konfigurace a způsob vytvoření síťové karantény.

Výsledky penetračních testů musí být prezentovány ve srozumitelné formě jak pro technické, tak pro řídící pracovníky. Součástí zprávy musí být klasifikace problémů a samozřejmě i doporučení na odstranění zjištěných nedostatků.


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.