در طی سالهای اخیر بسیاری از شرکت ها برای راحتی بیشتر مشتریان و کارمندان خود، برخی امکانات اضافی را به برنامه های کاربردی موجود اضافه کرده و یا برنامه های کاربردی جدیدی را پیاده سازی کرده اند. برای مثال می توان به دسترسی آنلاین به خدمات بانکی و یا گسترش شیوه های ارتباط الکترونیک برای کارمندانی که در خانه کار می کنند، اشاره کرد.

از طرف دیگر بسیاری از شرکتها به ضرورت حضور در اینترنت برای جذب مشتریان بالقوه و حفظ مشتریان فعلی پی برده اند. در هر دو مورد، زمانی که بحث حضور در اینترنت پیش می آید، عنصر امنیت به خصوص امنیت سرورها اهمیت ویژه ای پیدا می کند. سرورهای وب ، در کنار سرویس های مفید خود، مجموعه جدیدی از آسیب پذیری ها را نیز پدید آورده اند که لازم است دست اندرکاران سیستم های رایانه ای، به خصوص سیستم های مبتنی بر وب، آنها را جدی تلقی کنند. البته آسیب پذیری ها به سرورها محدود نمی شوند و ممکن است به صورت عمدی یا غیر عمدی در طراحی و پیاده سازی برنامه های کاربردی، حتی برنامه هایی که مدتهاست در حال کار هستند، ایجاد شده باشند. به همین جهت شناسایی آسیب پذیری ها و میزان نفوذ و تأثیر آنها بر روی سیستم از اهمیت ویژه ای برخوردار است. لذا بسیاری از شرکت ها برای نیل به هدف فوق از تست نفوذ استفاده می کنند.

در مقاله تست نفوذ در مورد مفاهیم و استاندارد های مرتبط با تست نفوذ صحبت کردیم. در این قسمت درباره چگونگی اجرای تست نفوذ صحبت خواهیم کرد.

پیش نیاز اجرای تست نفوذ

هر شرکت یا سازمان، پیش از اجرای تست نفوذ، به یک سیاست امنیتی کامپیوتر نیاز دارد. سیاست امنیتی، یک آئین نامه رسمی از قوانینی است که باید توسط افرادی که دسترسی به دارایی های اطلاعاتی و فناوری یک شرکت یا سازمان دارند، رعایت شوند. تدوین سیاست امنیتی باید با توجه به ارزش دارایی ها و منابع اطلاعاتی شرکت انجام شده و سپس رویه های امنیتی مناسب با آنها ایجاد شوند. فاکتور اصلی در تعیین رویه ها و کنش های امنیتی مناسب در سیاست امنیتی کامپیوتر، هزینه ای است که شرکت در صورت از دست دادن داده ها متحمل می شود.

برای مثال، در صورتی که شرکتی با اطلاعات دولتی و یا مالی سر و کار داشته باشد، روند غیر فعال کردن یک حساب کاربری (User ID) در آن، متفاوت از یک دانشکده خواهد بود. به علاوه اگر شرکتی دارای اطلاعات خصوصی، اسرار تجاری و یا لیست مشتریانی است که رقبا نباید از آن اطلاع حاصل کنند، لازم است ارزش امنیتی بالاتری را برای اطلاعات مذکور قائل شده و گام های امنیتی مناسب برای حفاظت از آنها برداشته شود.

یک سیاست امنیتی کامپیوتر باید موارد زیر را پوشش دهد:

• اتصالات از/به اینترنت
• اتصالات از طریق خط تلفن (dial-up)
• امنیت دسترسی فیزیکی
• مدیریت کلمه عبور
• مسئولیت ها و حقوق کاربران
• مسئولیت ها و حقوق مدیران
• محافظت از اطلاعات حساس
• روال های پاسخگویی به فوریت ها
• مستند سازی
• پشتیبان گیری از اطلاعات
• گزارش ها و ثبت وقایع (logs)
• رسیدگی به رخدادها
• چگونگی گزارش یک مشکل یا رخداد امنیتی
• تخلفاتی که باید گزارش شوند
• اجرای سیاست
• مسئول نهایی

برنامه ریزی تست نفوذ

قبل از اجرای تست نفوذ لازم است برای آن برنامه ریزی شده و میزان آزادی عمل تست و قلمروی آن دقیقاً معین شود. همچنین در این مرحله در مورد اجرای تست به شیوه جعبه سفید و یا جعبه سیاه تصمیم گیری صورت می گیرد، اعضای تیم مشخص می گردند، معیارهای موفقیت تست تعریف می شوند و مجوز مدیریت دریافت می گردد.  در این مرحله با توجه به حوزه تست نفوذ، پارامترهای ضروری برای تشخیص آسیب پذیری ها تعیین می گردد. مواردی که در زمینه برنامه ریزی تست نفوذ باید مورد توجه قرار گیرند عبارتند از:

• مدت زمان انجام تست چقدر است؟
• چه کسانی از انجام تست اطلاع دارند؟
• چه کسی تأیید کننده دسترسی غیر مجاز است؟
• چه منابع و سیستم هایی و چگونه تست شوند ؟

تنظیمات فایروال

————–اطلاعات کامل

————–بدون اطلاعات

سیستم های میزبان

————–وب سرورها

————–انتخاب کلمات عبور

————–چگونگی به اشتراک گذاری

————–سرورهای FTP

————–سیستم تشخیص نفوذ

سرورهای  DNS

مودم ها Dial in

دسترسی های بی سیم

Public Branch Exchange(PBX)

غیر فعال سازی UserID و یا روند خارج شدن یک کارمند از سیستم

دسترسی های فیزیکی

مهندسی اجتماعی

کامپیوترهای رومیزی

————–انتخاب کلمات عبور

————–تنظیمات مودم ها برای پاسخگویی اتوماتیک و یا دسترسی به نرم افزارهای خارجی

• چگونگی ارائه نتایج
• بعد از چه مدت زمانی، تست دیگری برای اطمینان از نتایج تغییرات انجام می شود؟

جمع آوری اطلاعات (شناسایی)

پس از تعیین قلمروی تست نفوذ، نوبت به جمع آوری اطلاعات درباره شرکت هدف تست می رسد. تست نفوذ معمولاً با سه مرحله پیش تست آغاز می شود. footprinting، scanning و enumerating. این سه مرحله پیش تست بسیار مهم هستند زیرا تفاوت بین یک تست موفق که تصویری کامل از شبکه هدف را فراهم می سازد و یک تست ناموفق که این کار را انجام نمی دهد، از این سه مرحله ناشی می شود. این سه با یکدیگر به عنوان گام شناسایی یا reconnaissance شناخته می شوند. در این گام سعی می شود تا حد امکان اطلاعات در مورد شبکه هدف جمع آوری گردد و شامل هفت زیر مرحله می شود:

1. جمع آوری اطلاعات اولیه
2. مشخص کردن دامنه آدرس های IP شبکه
3. شناسایی رایانه های فعال
4. کشف پورت های باز و نقاط دسترسی
5. شناسایی سیستم عامل
6. شناسایی سرویس های ارائه شده در هر پورت
7. نگاشت شبکه

در زیر در مورد هر کدام از گام های پیش تست بیشتر توضیح می دهیم:

Footprinting

در این مرحله دو گام اول مرحله شناسایی یعنی جمع آوری اطلاعات اولیه و مشخص کردن دامنه آدرس های IP شبکه هدف صورت انفعالی انجام می پذیرد. این مرحله بسیار مهم است زیرا هکرها می توانند اطلاعات به دست آمده در این مرحله را بدون آگاهی سازمان هدف جمع آوری کنند. در این زمینه تعدادی منابع و ابزار رایگان و تجاری وجود دارند که می توانند در به دست آوردن اطلاعات اولیه کمک خوبی باشند. دسترسی به بعضی از این منابع مانند خبرنامه های شرکت بسیار آسان است. تست کنندگان با استفاده از این منبع به اطلاعات مفیدی دست پیدا می کنند که کارمندان حتی بدون آنکه متوجه باشند آنها را بروز می دهند. دیگر روش ها برای جمع آوری اطلاعات استفاده از Whois، Nslookup، Smart Whois و SamSpade است. برای مثال Whois با استفاده از سرویس های دایرکتوری، اطلاعاتی را در مورد دامنه ها و ثبت کنندگان آنها در اختیار می گذارد و Nslookup یک پرس و جوی تعاملی را با سرورهای نام دامنه انجام می دهد.

Scanning

چهار مرحله بعدی گام شناسایی (شناسایی رایانه های فعال، کشف پورت های باز و نقاط دسترسی، شناسایی سیستم عامل و شناسایی سرویس های ارائه شده در هر پورت) به عنوان بخشی از مرحله پویش یا Scanning در نظر گرفته می شوند. در این مرحله هدف جمع آوری اطلاعات در مورد پورت های باز، پویش برنامه های کاربردی، ping کردن دستگاه ها،  مشخص کردن حدود شبکه و پویش پورت های هر دستگاه به تنهایی است. این مرحله نسبت به footprinting پویاتر بوده و اطلاعات جزئی تری از هدف جمع آوری می شود. مانند مرحله قبل برخی ابزارها در این مرحله یاری رسانند مانندNMap، ping، Telnet ،Traceroute، SuperScan، Netcat، NeoTrace و Visual Route. برای مثال با استفاده از Ping می توان یک تقاضای ICMP ECHO را به یک میزبان شبکه مشخص ارسال کرد. در دستور ping می توان یک پورت را نیز تعیین کرد که دریافت پاسخ، نشان دهنده باز بودن پورت مذکور برای ارتباط TCP/IP است. همچنین با استفاده از Telnet می توان یک ارتباط تعاملی را با یک میزبان مشخص برقرار کرده و یک پورت را در این دستور وارد کرد. دریافت پاسخ نشان دهنده باز بودن پورت مذکور برای ارتباط TCP/IP است. Traceroute ابزار دیگری است که مسیرهای ارتباطی اینترنت را بین دو سیستمی که ارتباط TCP/IP دارند، مشخص می سازد.

Enumerating

آخرین مرحله گام شناسایی نگاشت شبکه است که با استفاده از اطلاعات Scanning انجام شده و مرحله Enumerating را تشکیل می دهد. در این مرحله هدف طراحی یک تصویر نسبتاً کامل از شبکه هدف است. در این مرحله اطلاعات نام کاربران و گروه ها، منابع شبکه به اشتراک گذاشته شده و برنامه های کاربردی جمع آوری می گردد. مخصوصاً اطلاعات مربوط به سیستم عامل مورد استفاده (همراه با نسخه آن) و برنامه های کاربردی نصب شده و نسخه آنها اطلاعات باارزشی در این زمینه محسوب می شوند. با دانستن نوع سیستم عامل و برنامه های کاربردی می توان از آسیب پذیری های شناخته شده موجود در آنها جهت پیاده سازی نفوذ استفاده کرد. در این مرحله می توان از تکنیک های زیر استفاده کرد:

• به دست آوردن اطلاعات Active Directory و شناسایی کاربران آسیب پذیر
• شناسایی NetBIOS با استفاده از Nbscan
• استفاده از SNMPutil برای SNMP
• به کارگیری پرس و جوهای DNS
• ایجاد ارتباطات و نشست هایnull

هر کدام از ابزارها و تکنیک های فوق می توانند در مورد ارتباطات شبکه و یا سیستم میزبان نیز اطلاعات بیشتری را در اختیار بگذارند. در این مرحله از  تست که اولین مرحله است، توصیه به جمع آوری هر چه بیشتر اطلاعات می شود. اطلاعات مذکور از طرفی انتخاب تست های قابل انجام را راحت تر می کنند و از طرف دیگر تست را بیشتر به شبیه سازی یک نفوذ واقعی هدایت می کنند. هکرهای واقعی قبل از انجام حمله تا جایی که می توانند به مطالعه و تحقیق در مورد سیستم مورد حمله می پردازند و لذا یک انجام دهنده تست نفوذ نیز بایستی با اطلاعاتی مشابه یک هکر واقعی به انجام تست بپردازد. هر چقدر اطلاعات کمتری توسط ابزارهای فوق به دست آید، نشان دهنده امنیت بالاتر سیستم است.

به کارگیری آسیب پذیری ها با هدف نفوذ

در مرحله سوم تست نفوذ، برای شناسایی مشکلات مربوط به تنظیمات سیستم، از ابزارهای پویش کردن آسیب پذیری ها و Password Crackers استفاده می شود. برخی از ابزارهای قابل استفاده در این زمینه عبارتند از:

Nessus – ابزاری برای تشخیص آسیب پذیری ها در سیستم های Unix

SARA – دومین نسل از ابزار پویش آسیب پذیری SATAN

Whisker – ابزار پویش آسیب پذیری در CGI

Hping2 – یک ابزار شبکه است که می تواند بسته های دلخواه ICMP، UDP و TCP را ارسال کند و برای آزمودن قوانین فایروال و بررسی قطعات (fragments) بسته ها استفاده می شود.

Firewalk - یک ابزار شبیه دنبال کننده های مسیر است که اجازه دسترسی به Access Control List یک فایروال را می دهد و همچنین امکان در آوردن نقشه شبکه را نیز فراهم می کند.

NAT(NetBIOS Auditing tool) – یک ابزار برای مشخص کردن آسیب پذیری ها در تنظیمات NetBIOS یک سیستم NT است.

Toneloc – ابزاری برای بررسی مودم سیستم های رومیزی است که برای جواب دهی اتوماتیک و یا اجرای نرم افزار از راه دور به کار می روند.

برخی ابزارهای تجاری نیز در این زمینه وجود دارند که عبارتند از:

Internet Security Server (ISS) – این محصول بسیار پر کاربرد است و بسیاری از شرکت های انجام دهنده تست نفوذ از آن برای شناسایی آسیب پذیری ها استفاده می کنند.

CyberCop – این ابزار نیز برای پویش آسیب پذیری ها به کار می رود.

Phonesweep - ابزاری برای بررسی مودم سیستم های رومیزی است که برای جواب دهی اتوماتیک و یا اجرای نرم افزار از راه دور به کار می روند.

به غیر از موارد ذکر شده در بالا ابزارهایی نیز برای تشخیص نفوذ و مدیریت داده های تولید شده در روند تشخیص نفوذ وجود دارند. البته مبحث تشخیص نفوذ با اینکه مرتبط با تست نفوذ است ولی نیازمند بررسی جداگانه و مفصلی است و لذا از آوردن ابزارهای مرتبط با آن خودداری کرده ایم.

بعد از انتخاب ابزارهای ارزیابی آسیب پذیری، باید از آنها بر روی سیستم ها و شبکه استفاده کرد. اطلاعاتی که از ابزارهای فوق به دست می آید، به روشنی آسیب پذیری های اصلی را مشخص می کنند. در این مرحله لازم است با توجه به نوع نفوذ، کاری انجام داد تا وجود آسیب پذیری را به اثبات رساند. برای مثال باید فایلی را در منطقه کنترل شده قرار داد و یا کلمه عبور مربوط به نام کاربری مهمان را تغییر داد. همچنین در موارد دسترسی های فیزیکی باید بخشی از پرونده ای را برداشت و یا در شبیه سازی حملات مهندسی اجتماعی می توان به شماره تلفن منزل مدیر سیستم دسترسی پیدا کرد.

در این مرحله برخی از حملات مانند حملات تزریق SQL، XSS، سرریز بافر و تروجان ها نیز بر روی شبکه شبیه سازی می شوند که در مقاله جداگانه ای چگونگی انجام آنها را به تفصیل توضیح خواهیم داد.

پاکسازی

در این مرحله تمام فایل هایی که در حین تست نفوذ انجام شده اند پاک شده و تمام تنظیمات و یا پارامترهایی که تغییر یافته اند به حالت اولیه باز می گردند. همچنین تمام ردپاها پاک شده و تمام سیستم هایی که به آنها نفوذ شده است به حالت پیش از تست نفوذ بر می گردند.

ارائه نتایج تست

نتایج تست باید حاوی راه حل هایی برای کاهش و یا حذف آسیب پذیری ها باشد. تفاوت اصلی ممیزی امنیتی و تست نفوذ در نکته مذکور است. باید یک برنامه زمانی برای رفع آسیب پذیری های کشف شده نیز ارائه گردد و بعد از آن دوباره سیستم را برای اطمینان از رفع آسیب پذیری های مذکور بررسی کرد.

راه حل های ارائه شده بستگی به نوع آسیب پذیری ها دارد و در آنها باید هزینه هایی که بر شرکت در صورت سوءاستفاده از آسیب پذیری تحمیل می شود و همچنین هزینه راه حل آورده شود. برای مثال ممکن است در یک راه حل خواسته شود سیستم های جدیدی که برای وب سرور مورد استفاده قرار می گیرند قبل از نصب تست شوند و در یک راه حل دیگر خواسته شود تا ایمیل های ارسالی درون سیستم، ابتدا به یک میل سرور مرکزی ارجاع و سپس برای گیرنده ارسال شوند.

در پایان باید گفت نتایج تست نفوذ باید به دقت محافظت شده و محرمانه تلقی گردند، زیرا در صورت دسترسی افراد ناباب، امکان سوءاستفاده  از آن بسیار زیاد است.

منبع : ماهر

خبر های مرتبط:

1. تست نفوذ چیست؟
2. بررسی آسیب‌پذیری امنیتی GPRS همراه اول
3. ایران از تجربه چین برای اجرای جستجوگر ملی!

در طی سالهای اخیر بسیاری از شرکت ها برای راحتی بیشتر مشتریان و کارمندان خود، برخی امکانات اضافی را به برنامه های کاربردی موجود اضافه کرده و یا برنامه های کاربردی جدیدی را پیاده سازی کرده اند.

برای مثال می توان به دسترسی آنلاین به خدمات بانکی و یا گسترش شیوه های ارتباط الکترونیک برای کارمندانی که در خانه کار می کنند، اشاره کرد. از طرف دیگر بسیاری از شرکت ها به ضرورت حضور در اینترنت برای جذب مشتریان بالقوه و حفظ مشتریان فعلی پی برده اند. در هر دو مورد، زمانی که بحث حضور در اینترنت پیش می آید، عنصر امنیت به خصوص امنیت سرورها اهمیت ویژه ای پیدا می کند.

سرورهای وب ، در کنار سرویس های مفید خود، مجموعه جدیدی از آسیب پذیری ها را نیز پدید آورده اند که لازم است دست اندرکاران سیستم های رایانه ای، به خصوص سیستم های مبتنی بر وب، آنها را جدی تلقی کنند. البته آسیب پذیری ها به سرورها محدود نمی شوند و ممکن است به صورت عمدی یا غیر عمدی در طراحی و پیاده سازی برنامه های کاربردی، حتی برنامه هایی که مدتهاست در حال کار هستند، ایجاد شده باشند. به همین جهت شناسایی آسیب پذیری ها و میزان نفوذ و تأثیر آنها بر روی سیستم از اهمیت ویژه ای برخوردار است. لذا بسیاری از شرکت ها برای نیل به هدف فوق از تست نفوذ استفاده می کنند.

در این مقاله مفهوم تست نفوذ و تعاریف مرتبط با آن را توضیح می دهیم و در مقاله بعدی درباره شیوه اجرای آن صحبت خواهیم کرد.

تست نفوذ چیست؟

یک تست نفوذ یا Penetration Test یک پروسه مجاز، برنامه ریزی شده و سیستماتیک برای به کارگیری آسیب پذیری ها جهت نفوذ به سرور، شبکه و یا منابع برنامه های کاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یک سیستم یا شبکه کامپیوتری است که از طریق شبیه سازی حمله یک هکر یا نفوذگر خرابکار صورت می گیرد. پروسه تست نفوذ یک تحلیل فعال از سیستم برای یافتن هر حفره، آسیب پذیری و نقص فنی است که بالقوه یک ضعف امنیتی سیستم محسوب می شود.

این تحلیل در مقام یک هکر بالقوه انجام می شود و در آن می توان از آسیب پذیری های امنیتی فعال برای اجرای حملات استفاده کرد. همه مشکلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهاد هایی برای کاهش اثر خطرات و یا راه حل های فنی به صاحب سیستم ارائه شوند. تست نفوذ می تواند با استفاده از منابع داخلی همچون سیستم امنیتی میزبان و یا منابع خارجی همچون اتصالات شرکت به اینترنت هدایت شود. در این تست معمولاً از یک سری ابزارهای اتوماتیک و یا دستی برای آزمودن منابع سیستم استفاده می شود.

البته انجام تست نفوذ بر روی سیستم های فعال، خطر از هم گسستن آنها را در پی دارد زیرا اجرا کردن حملات فعال بر روی سیستم ممکن است منجر به از کار افتادگی، بروز برخی رفتارهای غیر قابل پیش بینی و بی ثباتی سیستم شود.

تست نفوذ چه چیزی نیست؟

یک اقدام هماهنگ نشده برای دسترسی بدون اجازه به منابع را نمی توان یک تست نفوذ دانست. تست نفوذ باید به صورت برنامه ریزی شده و هماهنگ با صاحبان سیستم انجام شود. کمترین تأثیر تست نفوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص نفوذ یا IDS (در صورت وجود) است. به علاوه برخی تست ها منجر به از کار افتادن تجهیزات شبکه یا سیستم می شوند و به همین علت آگاهی مدیران و کارمندان از انجام تست نفوذ یک ضرورت به حساب می آید. تنها مورد استثناء در آگاهی دادن کامل به کارمندان، مربوط به تست سیستم تشخیص نفوذ و عکس العمل کارمندان در برابر آن است. بنابراین گرفتن مجوز از مدیریت برای انجام تست نفوذ جهت پذیرش پیامدهای آن، ضروری محسوب می شود.

چه چیزهایی باید تست شوند؟

در تست نفوذ لازم است تمام سرویس های درونی که توسط شرکت ارائه می شوند، مورد بررسی و آزمون قرار گیرند. سرویس های مذکور عبارتند از: Mail، DNS، سیستم های فایروال، ساختار کلمات عبور، سیستم های پروتکل انتقال فایل  (FTP)و وب سرورها. طبق اطلاعات جدید سیستم های بی سیم شرکت و Public Branch Exchange(PBX) نیز باید مورد تست قرار گیرند. از طرف دیگر روش های بالقوه نفوذ مانند دسترسی به منابع شبکه و شیوه به دست آوردن اطلاعات نیز باید مورد بررسی قرار گیرند. همچنین تلاش های مهندسی اجتماعی را نیز برای دسترسی به منابع باید در نظر گرفت.

روش های تست: جعبه سیاه در مقابل جعبه سفید

تست نفوذ و یا ارزیابی آسیب پذیری ها از دیدگاه مدیریتی به دو روش اساسی می تواند انجام شود. در واقع تست نفوذ می تواند به صورت محرمانه (تست جعبه سیاه) و یا به صورت عمومی (تست جعبه سفید) انجام پذیرد.

تفاوت اصلی در این روشها میزان دانش تست کنندگان از جزئیات پیاده سازی سیستم مورد بررسی است. در تست نفوذ به روش جعبه سیاه فرض می شود تست کنندگان هیچگونه اطلاعاتی از زیرساخت های سیستم ندارند و لذا ابتدا باید گستردگی و توزیع سیستم را یافته و سپس شروع به تحلیل کنند. این مرحله بسیار زمان بر بوده و به عنوان مرحله جمع آوری اطلاعات شناخته می شود.

در نقطه مقابل و در انتهای دیگر طیف، روش جعبه سفید وجود دارد که در آن اطلاعات کامل زیر ساخت، در اختیار تست کنندگان قرار می گیرد. این اطلاعات معمولاً شامل نمودارهای شبکه، کد منبع و اطلاعات آدرس دهی IP است. در میان این دو، طیف گسترده ای وجود دارد که آن را به عنوان روش جعبه خاکستری می شناسند. همچنین تست های نفوذ بنا بر میزان اطلاعاتی که در اختیار تست کنندگان قرار می گیرد به عنوان تست های “افشای کامل”، “افشای جزئی” و یا “کور” نیز توضیح داده می شوند.

بحث هایی بر سر میزان شایستگی نسبی هر کدام از این روش ها وجود دارد. تست به روش جعبه سیاه حملاتی را از طرف یک فرد ناآشنا با سیستم شبیه سازی می کند. تست نفوذ به روش جعبه سفید حملاتی را از داخل سازمان و یا بعد از نشت اطلاعات حساس شبیه سازی می کند که در آن مهاجم به نقشه شبکه، کد منبع و حتی برخی از کلمات عبور دسترسی دارد.

تست داخلی در مقابل تست خارجی

امروزه بسیاری از سازمان ها و شرکت ها دارای شبکه داخلی یا LAN هستند که از طریق آن بین کامپیوترها و منابع ارتباط برقرار کرده و می توانند برخی از منابع را از این طریق به اشتراک گذارند. در اینجا منظور از شبکه داخلی همه کامپیوترها، سوئیچ ها، پرینترها و همه دستگاه های دیگری است که در داخل شرکت یا سازمان قابل دسترسی هستند.

منظور از دستگاه های خارجی، آنهایی هستند که از طریق اینترنت و یا بخش عمومی شبکه قابل دسترسی هستند. در این بخش دستگاه هایی مانند وب سرورها (HTTP)، میل سرورها (POP3 وSMTP) و سرورهای DNS وجود دارند. به این دستگاه ها منابع خارجی گفته شده و معمولاً از آنجایی که به اینترنت اتصال پیدا می کنند، میزان خطر آنها نسبت به منابع داخل سازمان بالاتر در نظر گرفته می شود، اما تحقیقات نشان داده است حدود ۵۰ درصد رخدادهای امنیتی در داخل سازمان رخ می دهند و هزینه ای را که بر سازمان تحمیل می کنند بسیار بیشتر از حملات خارج سازمانی است. برای مثال هر حمله داخلی به طور متوسط ۲٫۷ میلیون دلار و هر حمله خارجی ۵۷ هزار دلار برای شرکت اراکل هزینه دارد.

تست هایی که برای مشخص کردن آسیب پذیری های با دسترسی به منابع داخلی سازمان و یا از طریق مهندسی اجتماعی انجام می شوند، به عنوان تست نفوذ داخلی شناخته می شوند. تست های نفوذ داخلی می توانند به خوبی نشان دهنده حملاتی که با دسترسی های مجاز انجام می شوند باشند. برای مثال می توان به حملاتی که از طرف کارمندان اخراجی انجام می شود، اشاره کرد. در مقابل تست نفوذ خارجی برای شبیه سازی حملاتی است که از طریق اینترنت قابل انجام هستند. برای مثال در صورتی که هدف از انجام تست مطمئن شدن از امنیت پایگاه داده از سمت وب سایت سازمان است، تست نفوذ خارجی پیشنهاد می شود. البته بسیاری از سازمان ها و شرکت ها از هر دو روش برای تست نفوذ استفاده می کنند.

محدودیت های تست نفوذ

باید دقت داشت که تست نفوذ تنها یک تصویر لحظه ای از سیستم ها و شبکه ها در یک زمان مشخص است. تست نفوذ تنها بر روی سیستم هایی که در زمان اجرای تست در دسترس هستند و آسیب پذیری ها و نقص های امنیتی که توسط ابزارها و بسته های مختلف قابل شناسایی هستند، انجام می شود. به عبارت دیگر پروسه امنیت شبکه و سیستم، یک پروسه پیوسته و دائمی است زیرا به محض تمام شدن تست، ممکن است یک سیستم و یا برنامه کاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد.

استانداردها و گواهینامه ها

انجام تست نفوذ می تواند منجر به افشای اطلاعات حساس سازمان مورد بررسی شود. به همین دلیل شرکت های امنیتی باید صریحاً نشان دهند که از هکرهای کلاه سیاه قبلی استفاده نکرده و همه کارمندان آنها به قوانین مربوط به کد نویسی اخلاقی پایبند هستند.  شرکت های امنیتی برای نشان دادن قابل اعتماد بودن خود، می توانند از گواهینامه های حرفه ای در این زمینه استفاده کنند.

موسسه (Information Assurance Certification Review Board (IACRB  یک گواهینامه تست نفوذ را به عنوان Certified Penetration Tester -CPT ارائه می دهد. برای دریافت CPT کاندیدا باید چندین امتحان تئوری را پشت سر گذاشته و سپس یک امتحان عملی را نیز با اجرای یک تست نفوذ بر روی سرورهای فعال پشت سر گذارد.

موسسه SANS یکی دیگر از موسساتی است که در زمینه های مختلف امنیت فناوری اطلاعات دوره های آموزشی دارد و یک گواهینامه امنیتی به نام (GIAC(Global Information Assurance Certification صادر می کند. دو نوع از گواهینامه های GIAC مختص به تست نفوذ هستند و با نام های GIAC Certified Penetration Tester(GPEN) و GIAC Web Application Penetration Tester(GWAPT) شناخته می شوند.

برای برنامه های کاربردی مبتنی بر وب،  (Open Web Application Security Project(OWASP یک چارچوب کاری را ارائه داده است که به عنوان یک محک (benchmark ) شناخته شده در سراسر جهان استفاده می شود.

چندین گواهینامه امنیتی نیز توسط دولت انگلیس تهیه شده است که در ابتدا هدف آنها سازمان های وابسته به دولت بود، ولی مدتی بعد در دسترس شرکت های تجاری که قصد دارند سطح بالایی از امنیت را برای مشتریان خود تضمین کنند، نیز قرار گرفت.

برای سالها تنها استاندارد تست نفوذ، الگوی CHECK بوده است که توسط گروه امنیت الکترونیک و ارتباطات انگلیس (CESG) تهیه شده است. این استاندارد در ابتدا یک پیش شرط اجباری برای تست های دولت مرکزی بوده ولی با توجه به قوانین انگلیس، اجرای آن برای دولت های محلی و شرکت های دولتی اجباری نبوده است. قابل ذکر است که استاندارد مذکور از سوی بخش خصوصی و شرکت های تجاری با استقبال خوبی روبرو شد.

الگوی TIGER یکی از الگوهای شناخته شده غیر دولتی انگلستان برای تست نفوذ است. برای به دست آوردن گواهینامه منطبق با الگوی مذکور، آموزش هایی توسط شرکت QBit ارائه می شود و برگزار کننده امتحانات مربوطه Glamorgan University است. برای گرفتن گواهینامه مذکور نیاز نیست فرد متقاضی در استخدام یک شرکت امنیتی باشد. گواهینامه تست کننده امنیتی ارشد (Tiger Senior Security Tester(SST)) معادل با رهبر تیم CHECK یا (CHECK Team Leader(CTL شناخته می شود.

گواهینامه (CREST(Council of Registered Ethical Security Testers نیز یک گواهینامه تست نفوذ انگلیسی است که بر مبنای استاندارد CREST داده می شود. موسسه CREST یک مجتمع غیر انتفاعی متشکل از ۱۵ شرکت امنیتی انگلیسی اجرا کننده تست نفوذ است. گواهینامه این موسسه نیز مانند گواهینامه CHECK تنها به کسانی که در استخدام شرکت های ارائه دهنده گواهینامه هستند، داده می شود.

منبع : ماهر

خبر های مرتبط:

1. اس اس ال یا لایه اتصال امن چیست؟
2. روال اجرای تست نفوذ
3. کرم کامپیوتری چیست و چگونه به کامپیوتر آسیب می زند؟