اطلاعیه

Collapse
No announcement yet.

تست نفوذ (Penetration Test) چیست؟

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • تست نفوذ (Penetration Test) چیست؟

    در طی سالهای اخیر بسیاری از شركت ها برای راحتی بیشتر مشتریان و كارمندان خود، برخی امكانات اضافی را به برنامه های كاربردی موجود اضافه كرده و یا برنامه های كاربردی جدیدی را پیاده سازی كرده اند. برای مثال می توان به دسترسی آنلاین به خدمات بانكی و یا گسترش شیوه های ارتباط الكترونیك برای كارمندانی كه در خانه كار می كنند، اشاره كرد. از طرف دیگر بسیاری از شركت ها به ضرورت حضور در اینترنت برای جذب مشتریان بالقوه و حفظ مشتریان فعلی پی برده اند. در هر دو مورد، زمانی كه بحث حضور در اینترنت پیش می آید، عنصر امنیت به خصوص امنیت سرورها اهمیت ویژه ای پیدا می كند. سرورهای وب ، در كنار سرویس های مفید خود، مجموعه جدیدی از آسیب پذیری ها را نیز پدید آورده اند كه لازم است دست اندركاران سیستم های رایانه ای، به خصوص سیستم های مبتنی بر وب، آنها را جدی تلقی كنند. البته آسیب پذیری ها به سرورها محدود نمی شوند و ممكن است به صورت عمدی یا غیر عمدی در طراحی و پیاده سازی برنامه های كاربردی، حتی برنامه هایی كه مدتهاست در حال كار هستند، ایجاد شده باشند. به همین جهت شناسایی آسیب پذیری ها و میزان نفوذ و تأثیر آنها بر روی سیستم از اهمیت ویژه ای برخوردار است. لذا بسیاری از شركت ها برای نیل به هدف فوق از تست نفوذ استفاده می كنند.


    تست نفوذ چیست؟

    یك تست نفوذ یا Penetration Test یك پروسه مجاز، برنامه ریزی شده و سیستماتیك برای به كارگیری آسیب پذیری ها جهت نفوذ به سرور، شبكه و یا منابع برنامه های كاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یك سیستم یا شبكه كامپیوتری است كه از طریق شبیه سازی حمله یك هكر یا نفوذگر خرابكار صورت می گیرد. پروسه تست نفوذ یك تحلیل فعال از سیستم برای یافتن هر حفره، آسیب پذیری و نقص فنی است كه بالقوه یك ضعف امنیتی سیستم محسوب می شود. این تحلیل در مقام یك هكر بالقوه انجام می شود و در آن می توان از آسیب پذیری های امنیتی فعال برای اجرای حملات استفاده كرد. همه مشكلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهاد هایی برای كاهش اثر خطرات و یا راه حل های فنی به صاحب سیستم ارائه شوند. تست نفوذ می تواند با استفاده از منابع داخلی همچون سیستم امنیتی میزبان و یا منابع خارجی همچون اتصالات شركت به اینترنت هدایت شود. در این تست معمولاً از یك سری ابزارهای اتوماتیك و یا دستی برای آزمودن منابع سیستم استفاده می شود.
    البته انجام تست نفوذ بر روی سیستم های فعال، خطر از هم گسستن آنها را در پی دارد زیرا اجرا كردن حملات فعال بر روی سیستم ممكن است منجر به از كار افتادگی، بروز برخی رفتارهای غیر قابل پیش بینی و بی ثباتی سیستم شود.



    تست نفوذ چه چیزی نیست؟

    یك اقدام هماهنگ نشده برای دسترسی بدون اجازه به منابع را نمی توان یك تست نفوذ دانست. تست نفوذ باید به صورت برنامه ریزی شده و هماهنگ با صاحبان سیستم انجام شود. كمترین تأثیر تست نفوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص نفوذ یا IDS (در صورت وجود) است. به علاوه برخی تست ها منجر به از كار افتادن تجهیزات شبكه یا سیستم می شوند و به همین علت آگاهی مدیران و كارمندان از انجام تست نفوذ یك ضرورت به حساب می آید. تنها مورد استثناء در آگاهی دادن كامل به كارمندان، مربوط به تست سیستم تشخیص نفوذ و عكس العمل كارمندان در برابر آن است. بنابراین گرفتن مجوز از مدیریت برای انجام تست نفوذ جهت پذیرش پیامدهای آن، ضروری محسوب می شود.




    چه چیزهایی باید تست شوند؟

    در تست نفوذ لازم است تمام سرویس های درونی كه توسط شركت ارائه می شوند، مورد بررسی و آزمون قرار گیرند. سرویس های مذكور عبارتند از: Mail، DNS، سیستم های فایروال، ساختار كلمات عبور، سیستم های پروتكل انتقال فایل (FTP)و وب سرورها. طبق اطلاعات جدید سیستم های بی سیم شركت و Public Branch Exchange(PBX) نیز باید مورد تست قرار گیرند. از طرف دیگر روش های بالقوه نفوذ مانند دسترسی به منابع شبكه و شیوه به دست آوردن اطلاعات نیز باید مورد بررسی قرار گیرند. همچنین تلاش های مهندسی اجتماعی را نیز برای دسترسی به منابع باید در نظر گرفت.



    روش های تست: جعبه سیاه در مقابل جعبه سفید

    تست نفوذ و یا ارزیابی آسیب پذیری ها از دیدگاه مدیریتی به دو روش اساسی می تواند انجام شود. در واقع تست نفوذ می تواند به صورت محرمانه (تست جعبه سیاه) و یا به صورت عمومی (تست جعبه سفید) انجام پذیرد.

    تفاوت اصلی در این روشها میزان دانش تست كنندگان از جزئیات پیاده سازی سیستم مورد بررسی است. در تست نفوذ به روش جعبه سیاه فرض می شود تست كنندگان هیچگونه اطلاعاتی از زیرساخت های سیستم ندارند و لذا ابتدا باید گستردگی و توزیع سیستم را یافته و سپس شروع به تحلیل كنند. این مرحله بسیار زمان بر بوده و به عنوان مرحله جمع آوری اطلاعات شناخته می شود. در نقطه مقابل و در انتهای دیگر طیف، روش جعبه سفید وجود دارد كه در آن اطلاعات كامل زیر ساخت، در اختیار تست كنندگان قرار می گیرد. این اطلاعات معمولاً شامل نمودارهای شبكه، كد منبع و اطلاعات آدرس دهی IP است. در میان این دو، طیف گسترده ای وجود دارد كه آن را به عنوان روش جعبه خاكستری می شناسند. همچنین تست های نفوذ بنا بر میزان اطلاعاتی كه در اختیار تست كنندگان قرار می گیرد به عنوان تست های "افشای كامل"، "افشای جزئی" و یا "كور" نیز توضیح داده می شوند.

    بحث هایی بر سر میزان شایستگی نسبی هر كدام از این روش ها وجود دارد. تست به روش جعبه سیاه حملاتی را از طرف یك فرد ناآشنا با سیستم شبیه سازی می كند. تست نفوذ به روش جعبه سفید حملاتی را از داخل سازمان و یا بعد از نشت اطلاعات حساس شبیه سازی می كند كه در آن مهاجم به نقشه شبكه، كد منبع و حتی برخی از كلمات عبور دسترسی دارد.



    تست داخلی در مقابل تست خارجی

    امروزه بسیاری از سازمان ها و شركت ها دارای شبكه داخلی یا LAN هستند كه از طریق آن بین كامپیوترها و منابع ارتباط برقرار كرده و می توانند برخی از منابع را از این طریق به اشتراك گذارند. در اینجا منظور از شبكه داخلی همه كامپیوترها، سوئیچ ها، پرینترها و همه دستگاه های دیگری است كه در داخل شركت یا سازمان قابل دسترسی هستند.
    منظور از دستگاه های خارجی، آنهایی هستند كه از طریق اینترنت و یا بخش عمومی شبكه قابل دسترسی هستند. در این بخش دستگاه هایی مانند وب سرورها (HTTP)، میل سرورها (POP3 و SMTP) و سرورهای DNS وجود دارند. به این دستگاه ها منابع خارجی گفته شده و معمولاً از آنجایی كه به اینترنت اتصال پیدا می كنند، میزان خطر آنها نسبت به منابع داخل سازمان بالاتر در نظر گرفته می شود، اما تحقیقات نشان داده است حدود 50 درصد رخدادهای امنیتی در داخل سازمان رخ می دهند و هزینه ای را كه بر سازمان تحمیل می كنند بسیار بیشتر از حملات خارج سازمانی است. برای مثال هر حمله داخلی به طور متوسط 2.7 میلیون دلار و هر حمله خارجی 57 هزار دلار برای شركت اراكل هزینه دارد.

    تست هایی كه برای مشخص كردن آسیب پذیری های با دسترسی به منابع داخلی سازمان و یا از طریق مهندسی اجتماعی انجام می شوند، به عنوان تست نفوذ داخلی شناخته می شوند. تست های نفوذ داخلی می توانند به خوبی نشان دهنده حملاتی كه با دسترسی های مجاز انجام می شوند باشند. برای مثال می توان به حملاتی كه از طرف كارمندان اخراجی انجام می شود، اشاره كرد. در مقابل تست نفوذ خارجی برای شبیه سازی حملاتی است كه از طریق اینترنت قابل انجام هستند. برای مثال در صورتی كه هدف از انجام تست مطمئن شدن از امنیت پایگاه داده از سمت وب سایت سازمان است، تست نفوذ خارجی پیشنهاد می شود. البته بسیاری از سازمان ها و شركت ها از هر دو روش برای تست نفوذ استفاده می كنند.



    محدودیت های تست نفوذ

    باید دقت داشت كه تست نفوذ تنها یك تصویر لحظه ای از سیستم ها و شبكه ها در یك زمان مشخص است. تست نفوذ تنها بر روی سیستم هایی كه در زمان اجرای تست در دسترس هستند و آسیب پذیری ها و نقص های امنیتی كه توسط ابزارها و بسته های مختلف قابل شناسایی هستند، انجام می شود. به عبارت دیگر پروسه امنیت شبكه و سیستم، یك پروسه پیوسته و دائمی است زیرا به محض تمام شدن تست، ممكن است یك سیستم و یا برنامه كاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد.



    استانداردها و گواهینامه ها

    انجام تست نفوذ می تواند منجر به افشای اطلاعات حساس سازمان مورد بررسی شود. به همین دلیل شركت های امنیتی باید صریحاً نشان دهند كه از هكرهای كلاه سیاه قبلی استفاده نكرده و همه كارمندان آنها به قوانین مربوط به كد نویسی اخلاقی پایبند هستند. شركت های امنیتی برای نشان دادن قابل اعتماد بودن خود، می توانند از گواهینامه های حرفه ای در این زمینه استفاده كنند.

    موسسه Information Assurance Certification Review Board) IACRB) یك گواهینامه تست نفوذ را به عنوان Certified Penetration Tester)CPT) ارائه می دهد. برای دریافت CPT كاندیدا باید چندین امتحان تئوری را پشت سر گذاشته و سپس یك امتحان عملی را نیز با اجرای یك تست نفوذ بر روی سرورهای فعال پشت سر گذارد.

    موسسه SANS یكی دیگر از موسساتی است كه در زمینه های مختلف امنیت فناوری اطلاعات دوره های آموزشی دارد و یك گواهینامه امنیتی به نام(GIAC(Global Information Assurance Certification صادر می كند. دو نوع از گواهینامه های GIAC مختص به تست نفوذ هستند و با نام های GIAC Certified Penetration Tester)GPEN) و GIAC Web Application Penetration Tester)GWAPT) شناخته می شوند.

    برای برنامه های كاربردی مبتنی بر وب، Open Web Application Security Project)OWASP) یك چارچوب كاری را ارائه داده است كه به عنوان یك محك (benchmark) شناخته شده در سراسر جهان استفاده می شود.

    چندین گواهینامه امنیتی نیز توسط دولت انگلیس تهیه شده است كه در ابتدا هدف آنها سازمان های وابسته به دولت بود، ولی مدتی بعد در دسترس شركت های تجاری كه قصد دارند سطح بالایی از امنیت را برای مشتریان خود تضمین كنند، نیز قرار گرفت.

    برای سالها تنها استاندارد تست نفوذ، الگوی CHECK بوده است كه توسط گروه امنیت الكترونیك و ارتباطات انگلیس (CESG) تهیه شده است. این استاندارد در ابتدا یك پیش شرط اجباری برای تست های دولت مركزی بوده ولی با توجه به قوانین انگلیس، اجرای آن برای دولت های محلی و شركت های دولتی اجباری نبوده است. قابل ذكر است كه استاندارد مذكور از سوی بخش خصوصی و شركت های تجاری با استقبال خوبی روبرو شد.

    الگوی TIGER یكی از الگوهای شناخته شده غیر دولتی انگلستان برای تست نفوذ است. برای به دست آوردن گواهینامه منطبق با الگوی مذكور، آموزش هایی توسط شركت QBit ارائه می شود و برگزار كننده امتحانات مربوطه Glamorgan University است. برای گرفتن گواهینامه مذكور نیاز نیست فرد متقاضی در استخدام یك شركت امنیتی باشد. گواهینامه تست كننده امنیتی ارشد SST معادل با رهبر تیم CHECK یا CHECK Team Leader)CTL) شناخته می شود.

    گواهینامه (CREST(Council of Registered Ethical Security Testers نیز یك گواهینامه تست نفوذ انگلیسی است كه بر مبنای استاندارد CREST داده می شود. موسسه CREST یك مجتمع غیر انتفاعی متشكل از 15 شركت امنیتی انگلیسی اجرا كننده تست نفوذ است. گواهینامه این موسسه نیز مانند گواهینامه CHECK تنها به كسانی كه در استخدام شركت های ارائه دهنده گواهینامه هستند، داده می شود.


    منبع: ماهر
    http://www.netqurd.com/
    Last edited by codex; 03-03-2012, 02:09 AM.

  • #2
    توی netqurd ننوشته منبعش کجا بوده ؟
    جای این تو بخش اخبار نیست توی بخش مقالاته
    Emperor Hacking Team

    سکوت در جای جای مکتوبات مقدسشان به چشم می خورد و خیانتها در پی هم. اگر با آنها باشی چه خوب است.
    عاشقانه تو را بر مکتوباتشان می پذیرند و هنگامی که می خواهی با آنان نباشی ، خون تو را از آب چشمه های کوهستان گوارا تر می پندارند!

    آدرس توئیتر من:https://twitter.com/#!/iM4n_

    به صفحه شبگرد در فیسبوک بپیوندید
    http://www.facebook.com/groups/shabgard

    تیم Emperor عضو جدید میپذیرد ! برای اطلاعات بیشتر با خودم تماس بگیرید

    sigpic

    Comment


    • #3
      نوشته اصلی توسط iM4n نمایش پست ها
      توی netqurd ننوشته منبعش کجا بوده ؟
      جای این تو بخش اخبار نیست توی بخش مقالاته
      سلام

      جناب iM4n منقل شد. در ضمن منبع در سایت Netqurad ماهر ذکر شده.

      Comment

      Working...
      X