Penetrační testování



Podobné dokumenty
Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Přehled modelů reputace a důvěry na webu

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

1.1 Zátěžové testování

Vzorový audit webové stránky podle

Optimalizace pro vyhledavače a přístupnost webu

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

WWW. Petr Jarolímek, DiS. Školní rok:

Office 2007 Styles Autor: Jakub Oppelt Vedoucí práce: Ing. Václav Novák, CSc. Školní rok:

Metodologie řízení projektů

Použití analyzátoru paketů bezdrátových sítí Wireshark

Tvorba internetových aplikací s využitím framework jquery

3D model města pro internetové aplikace. Jakub Dolejší. Ing. Tomáš Dolanský, Ph.D.

Animace ve WPF. Filip Gažák. Ing. Václav Novák, CSc. Školní rok:

Tvorba dynamických interaktivních webových dotazníků pro psychologický výzkum

Tvorba webových aplikací s využitím Open Source CMS. Lukáš Dubina. Vedoucí práce. PaedDr. Petr Pexa

Ochrana linuxového poštovního serveru proti virům a spamu. Květa Mrštíková. Mgr. Jiří Pech. Školní rok:

PENETRAČNÍ TESTY CYBER SECURITY

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

Turris Omnia: jak lovit hackery

Vývoj mobilních aplikací s využitím JavaFX Mobile

Komunikace MOS s externími informačními systémy. Lucie Steinocherová

CZ.1.07/1.5.00/

PENETRATION TESTING AS ACTIVE SECURITY CHECK ON. Radek BERAN

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Masivní streaming Eduard Krlín Mgr. Miloš Prokýšek Školní rok:

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Tvorba aplikace typu klient/server pomocí Windows Communication Foundation

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Metody automatického texturování 3D modelu měst s využitím internetových fotoalb 3D town model for internet application

Jak zorganizovat penetrační testy a nespálit se. Jiří Vábek Komerční banka, a.s.

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Jan Pilař Microsoft MCP MCTS MCSA

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

3D Vizualizace muzea vojenské výzbroje

Penetrační testy v IP telefonii Filip Řezáč Department of Telecommunications VSB - Technical University of Ostrava Ostrava, Czech Republic

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

ANECT, SOCA a bezpečnost aplikací

Bezpečnost webových stránek

V Brně dne a

Instrukce pro vzdálené připojení do učebny 39d

Situační analýza Muzea hraček Lednice

ODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Životní cyklus rizik - identifikace.

Tento materiál byl vytvořen v rámci projektu Operačního programu Vzdělávání pro konkurenceschopnost.

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

3.13 Úvod do počítačových sítí

Uživatelem řízená navigace v univerzitním informačním systému

Inovace bakalářského studijního oboru Aplikovaná chemie

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Vzdálené řízení modelu připojeného k programovatelnému automatu

Počítačová síť ve škole a rizika jejího provozu

KLASICKÝ MAN-IN-THE-MIDDLE

ELEARNING NA UJEP PŘEDSTAVY A SKUTEČNOST

The Digital Enablers


Symantec Protection Suite Small Business Edition Jednoduché, účinné a cenově dostupné řešení navržené pro malé firmy

Bezepečnost IS v organizaci

Projekt Pospolu. MALWARE bezpečný počítač. Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Bohuslava Čežíková.

Analýza využití strojních zařízení firmy EPCOS, s.r.o. v Šumperku. Martin Moravec

NÁVRH ZPRACOVÁNÍ DAT SCIO V PROSTŘEDÍ GIS

SYSTÉM PRO AUTOMATICKÉ OVĚŘOVÁNÍ ZNALOSTÍ

SPSOA_ICT6_NSD. Vypracoval Petr Novosad. Vytvořeno z projektu EU Peníze středním školám

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Nadpis článku: Zavedení speciálního nástroje SYPOKUB do praxe

Interakce mezi uživatelem a počítačem. Human-Computer Interaction

Projektová dokumentace pro tvorbu internetových aplikací

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

AEC, spol. s r. o. Bezpečnostní incidenty v IT v ČR příklady z praxe firem. Tomáš Strýček Internet & Komunikace Modrá

Výuka programování v jazyce Python

PENETRAČNÉ TESTY. Prevencia pred únikom dát

Kybernetická bezpečnost Ochrana proti sílící hrozbě

Téma bakalářských a diplomových prací 2014/2015 řešených při

Supplier Web Uživatelská příručka. Supplier Web. Copyright Telefónica O2 Czech Republic, a.s. All rights reserved. 1/10

FAKULTA STAVEBNÍ ÚSTAV VODNÍCH STAVEB STUDIE PROTIPOVODŇOVÝCH OPATŘENÍ V LOKALITE DOLNÍ LOUČKY

Řízení privilegovaný účtů

Nástroje IT manažera

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Semestrální práce kurz 4SA425 Audit informačního systému

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Modelování kybernetických útoků The Modeling of the Cyber Attacks

ACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Postoj Evropanů k bezpečnosti na internetu

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Ing. Jana Holá, Ph.D., Mgr. Tomáš Hudec Ústav elektrotechniky a informatiky, Univerzita Pardubice

Uživatelská příručka

Jak si stojíme v boji proti hackerům na Internetu. Autor : Marek Galo Datum: červen 2014

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

Vámi vybranou odpověď vždy zakroužkujte. U otázek 4, 7 a 10 můžete zakroužkovat více odpovědí.

Obrana sítě - základní principy

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Transkript:

Penetrační testování Michal Zeman Ing. Ladislav Beránek, CSc., MBA Školní rok: 2008-09

Abstrakt Práce se zabývá testováním zranitelnosti informačních systémů. Tyto systémy se dnes velmi rozšiřují a často obsahují citlivá data, která je třeba ochránit před útoky zvenčí nebo zevnitř. Jednou z metod zabezpečení je simulace těchto útoků penetrační testování. Součástí práce je také seznámení se standardem OSSTMM, provedení penetračního testování na univezitní síti a vyhodnocení získaných výsledků. Abstract This work deals with testing vulnerability of information systems. Nowadays, these systems are expanding and often contains sensitive data, which needs to be protected from external or internal attacks. One method of protection is to simulate these attacks penetration testing. Part of the thesis is to acquaint with the OSSTMM standard, perform penetration testing on university network and evaluate the results. Klíčová slova Penetrační testování, penetrační test, bezpečnost systémů, bezpečnost sítě, OSSTMM, informační systém, nessus Keywords Penetration testing, penetration test, system security, network security, OSSTMM, information system, nessus

Zadání práce Penetrační testování V současné době bezpečnost informačních systémů je stále aktuálnější vzhledem k významu informačních systémů a stoupajících hrozeb, kdy stále více vstupuje do hry organizovaný zločin. Jednou z oblastí, která slouží pro zvyšování bezpečnosti informačních systémů, je penetrační testování. Toto testování má za cíl prověřit odolnost systémů vůči útokům zvenčí. Cílem práce je seznámení se standardem OSSTMM - Open Source Security Testing Methodology Manual. V praktické části bude provedení penetračního testu na PF JCU (po domluvě s příslušnými správci). Při tom budou využity postupy a pravidla standardu OSSTMM. Součástí práce budou závěry z testování a doporučení pro přijetí případných opatření pro zvýšení bezpečnosti systémů. Předpokládaný termín obhajoby: zima 2010

Úvod Úvod do problematiky Není tomu tak dávno, co jsme mohli slyšet o útocích hackerů na velké světové IT korporace, jakými jsou například Microsoft, nebo webový portál Yahoo. Tyto útoky jsou stále velmi časté, ať už jen pro zábavu nebo pro získání citlivých dat, které by se například mohly použít k zbohatnutí. Pokud máme informace, které je nutné chránit, nebo jen prostě chceme, aby naše data byla pouze naše, musíme je nějakým způsobem zabezpečit před těmito útoky. Pro lepší ochranu sítě je třeba znát současné i již starší známé hrozby a díry v zabezpečení a předcházet jim například aktualizacemi systému, firewallů atp. Bohužel jen toto k ochraně nestačí. Bežnou chybou bývá nevyplnění administrátorského hesla serverů v sítích, které mají zabezpečený přístup do serveroven, protože přihlašování na takovéto servery je mnohem pohodlnější. Pak ale nezáleží na tom, jak je systém aktualizovaný, protože je stále snadno zranitelný. A v této chvíli přichází na řadu penetrační testování. Je schopné, takovéto a hlavně mnohem méně nápadné nedostatky snadno odhalit a poukázat na ně a pak je již mnohem jednodušší jim předejít. Penetrační testování je vlastně hackerský útok pod vlastním dohledem za účelem odhalení slabin zabezpečení a nikoliv za účelem jejich zneužití. Toto testování má několik typů s ohledem na lokaci jejich provedení a také na šíři typu útoků. Penetračí test je vlastně sada různých scanů proti ochranám systému a aktivním prvkům sítě. Každý z těchto scanů je zaměřen na jiný typ zařízení a na jiná potencionálně slabá místá : prolomení firewallů, odolnost vůči systémovým útokům typu DoS, DDoS, SynFlood, atd., slabá hesla a podobně. Díky výsledkům těchto scanů a odhalení slabých míst sítě jsme pak mnohem jednodušeji schopni tato místa zabezpečit a snížit útočníkům šance na úspěch. Penetrační testování samozřejmně není schopno zaručit odolnost systému vůči všem útokům, ale minimálně nám dává jistotu (při pravidelném opakování), že útočník bude muset vynalést nějakou netradiční cestu k prolomení, protože běžné hrozby budou zabezpečeny díky jejich znalosti z výsledků penetračních testů. Cíle práce Cílem práce je provedení penetračních testů na PF JČU. Po domluvě s příslušnými správci bude test proveden zcela zvenčí, po připojení do bezdrátové sítě fakulty (registrované i neregistrované) a konečně po přihlášení do lokální sítě. Cílem práce bude prozkoumat případné slabiny pro jednotlivé aktivní prvky, servery, bezpečnostní nastavení apod. v síti JČU. Následovat pak budou doporučení, jak těmto slabinám předejít a zabezpečit systém na co nejvyšší úroveň. Přehled literatury Libor Dostálek a kol. Velký průvodce protokoly TCP/IP Bezpečnost www.osstmm.org www.nessus.org www.sans.org Analýza problému, Východiska řešení K této problematice je již vývojem dána metodika a softwarové nástroje. Tyto postupy a nástroje

jsou povětšinou know how jednotlivých firem, které se touto problematikou zabývají a jsou chráněna autorskými právy a jsou zpoplatněny. Existují však i volně přístupné nástroje, například Nessus, tyto nástroje budou použity k penetračnímu testu na JČU. Jednotlivé testování se liší rozsahem testovaných zařízení, typem simulovaných útoků a nastavením sotwarových prostředků. Metodika Při penetračním testu budu postupovat dle OSSTMM a pokusím se použít veškeré dostupné prostředky tak, aby test měl co nejvíce vypovídající hodnotu a byl schopen odhalit nedostatky v zabezpečení. Co je již hotovo Studium rodiny protokolů TCP/IP a jejich zabezpečení, studium literatury k penetračnímu testování, manuály a krátké seznámení s NESSUS a Nmap. Co je třeba ještě udělat Seznámení se s OSSTMM a nastudovat metodologii testu pro příslušná nastavení, seznámení se s manuály k volně dostupnému software a naučit se jej ovládat. Dále provedení samotného testu na JČU. Připravit výsledky jenotlivých testů a navrhnout bezpečnostní řešení. Seznam literatury DOSTÁLEK, Libor, a Kol. Velký průvodce protokoly TCP/IP : Bezpečnost. Praha : Computer Press, c2003. 571 s. ISBN 80-7226-849-X. ISECOM : Making Sense of Security [online]. Dostupný z WWW: <http://www.isecom.org/osstmm/>. Http://www.osstmm.org. Tenable Network Security [online]. Dostupný z WWW: <http://www.nessus.org/> SANS Institute : Network, Security, Computer, Audit Information & Training [online]. Dostupný z WWW: <http://www.sans.org/>

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář