Penetrační testování Michal Zeman
Ing. Ladislav Beránek, CSc., MBA Školní rok: 2008 - 09
Abstrakt Práce se zabývá testováním zranitelnosti informačních systémů. Tyto systémy se dnes velmi rozšiřují a často obsahují citlivá data, která je třeba ochránit před útoky zvenčí nebo zevnitř. Jednou z metod zabezpečení je simulace těchto útoků – penetrační testování. Součástí práce je také seznámení se standardem OSSTMM, provedení penetračního testování na univezitní síti a vyhodnocení získaných výsledků.
Abstract This work deals with testing vulnerability of information systems. Nowadays, these systems are expanding and often contains sensitive data, which needs to be protected from external or internal attacks. One method of protection is to simulate these attacks – penetration testing. Part of the thesis is to acquaint with the OSSTMM standard, perform penetration testing on university network and evaluate the results.
Klíčová slova Penetrační testování, penetrační test, bezpečnost systémů, bezpečnost sítě, OSSTMM, informační systém, nessus
Keywords Penetration testing, penetration test, system security, network security, OSSTMM, information system, nessus
Zadání práce Penetrační testování V současné době bezpečnost informačních systémů je stále aktuálnější vzhledem k významu informačních systémů a stoupajících hrozeb, kdy stále více vstupuje do hry organizovaný zločin. Jednou z oblastí, která slouží pro zvyšování bezpečnosti informačních systémů, je penetrační testování. Toto testování má za cíl prověřit odolnost systémů vůči útokům zvenčí. Cílem práce je seznámení se standardem OSSTMM - Open Source Security Testing Methodology Manual. V praktické části bude provedení penetračního testu na PF JCU (po domluvě s příslušnými správci). Při tom budou využity postupy a pravidla standardu OSSTMM. Součástí práce budou závěry z testování a doporučení pro přijetí případných opatření pro zvýšení bezpečnosti systémů. Předpokládaný termín obhajoby: zima 2010
Úvod Úvod do problematiky Není tomu tak dávno, co jsme mohli slyšet o útocích hackerů na velké světové IT korporace, jakými jsou například Microsoft, nebo webový portál Yahoo. Tyto útoky jsou stále velmi časté, ať už jen pro zábavu nebo pro získání citlivých dat, které by se například mohly použít k zbohatnutí. Pokud máme informace, které je nutné chránit, nebo jen prostě chceme, aby naše data byla pouze naše, musíme je nějakým způsobem zabezpečit před těmito útoky. Pro lepší ochranu sítě je třeba znát současné i již starší známé hrozby a díry v zabezpečení a předcházet jim například aktualizacemi systému, firewallů atp. Bohužel jen toto k ochraně nestačí. Bežnou chybou bývá nevyplnění administrátorského hesla serverů v sítích, které mají zabezpečený přístup do serveroven, protože přihlašování na takovéto servery je mnohem pohodlnější. Pak ale nezáleží na tom, jak je systém aktualizovaný, protože je stále snadno zranitelný. A v této chvíli přichází na řadu penetrační testování. Je schopné, takovéto a hlavně mnohem méně nápadné nedostatky snadno odhalit a poukázat na ně a pak je již mnohem jednodušší jim předejít. Penetrační testování je vlastně hackerský útok pod vlastním dohledem za účelem odhalení slabin zabezpečení a nikoliv za účelem jejich zneužití. Toto testování má několik typů s ohledem na lokaci jejich provedení a také na šíři typu útoků. Penetračí test je vlastně sada různých scanů proti ochranám systému a aktivním prvkům sítě. Každý z těchto scanů je zaměřen na jiný typ zařízení a na jiná potencionálně slabá místá : prolomení firewallů, odolnost vůči systémovým útokům typu DoS, DDoS, SynFlood, atd., slabá hesla a podobně. Díky výsledkům těchto scanů a odhalení slabých míst sítě jsme pak mnohem jednodušeji schopni tato místa zabezpečit a snížit útočníkům šance na úspěch. Penetrační testování samozřejmně není schopno zaručit odolnost systému vůči všem útokům, ale minimálně nám dává jistotu (při pravidelném opakování), že útočník bude muset vynalést nějakou netradiční cestu k prolomení, protože běžné hrozby budou zabezpečeny díky jejich znalosti z výsledků penetračních testů.
Cíle práce Cílem práce je provedení penetračních testů na PF JČU. Po domluvě s příslušnými správci bude test proveden zcela zvenčí, po připojení do bezdrátové sítě fakulty (registrované i neregistrované) a konečně po přihlášení do lokální sítě. Cílem práce bude prozkoumat případné slabiny pro jednotlivé aktivní prvky, servery, bezpečnostní nastavení apod. v síti JČU. Následovat pak budou doporučení, jak těmto slabinám předejít a zabezpečit systém na co nejvyšší úroveň.
Přehled literatury Libor Dostálek a kol. – Velký průvodce protokoly TCP/IP – Bezpečnost www.osstmm.org www.nessus.org www.sans.org
Analýza problému, Východiska řešení K této problematice je již vývojem dána metodika a softwarové nástroje. Tyto postupy a nástroje
jsou povětšinou know how jednotlivých firem, které se touto problematikou zabývají a jsou chráněna autorskými právy a jsou zpoplatněny. Existují však i volně přístupné nástroje, například Nessus, tyto nástroje budou použity k penetračnímu testu na JČU. Jednotlivé testování se liší rozsahem testovaných zařízení, typem simulovaných útoků a nastavením sotwarových prostředků.
Metodika Při penetračním testu budu postupovat dle OSSTMM a pokusím se použít veškeré dostupné prostředky tak, aby test měl co nejvíce vypovídající hodnotu a byl schopen odhalit nedostatky v zabezpečení.
Co je již hotovo Studium rodiny protokolů TCP/IP a jejich zabezpečení, studium literatury k penetračnímu testování, manuály a krátké seznámení s NESSUS a Nmap.
Co je třeba ještě udělat Seznámení se s OSSTMM a nastudovat metodologii testu pro příslušná nastavení, seznámení se s manuály k volně dostupnému software a naučit se jej ovládat. Dále provedení samotného testu na JČU. Připravit výsledky jenotlivých testů a navrhnout bezpečnostní řešení.
Seznam literatury DOSTÁLEK, Libor, a Kol. Velký průvodce protokoly TCP/IP : Bezpečnost. Praha : Computer Press, c2003. 571 s. ISBN 80-7226-849-X. ISECOM : Making Sense of Security [online]. Dostupný z WWW:
. Http://www.osstmm.org. Tenable Network Security [online]. Dostupný z WWW:
SANS Institute : Network, Security, Computer, Audit Information & Training [online]. Dostupný z WWW: