Penetrační testy

Testy se zaměří na slabá místa v oblasti připojení do externích sítí, s koncentrací na body, které umožňují přístup hackrům.
Testy se vykonají automatizovaně z Internetu, odhalí slabé místa a konfigurační chyby nejčastěji zneužívané hackery.

Testy ohodnotí silné a slabé stránky hostitelského serveru a ochrany, kterou má poskytovat ochranné zřízení a otestují skutečnou konfiguraci ostatních přístupných interních serverů jako UNIX, Windows NT, za a před tímto zařízením.
Testy se provedou pomocí speciálních testovacích programů jako jsou NESSUS, AFAIK, NetMap, PortMap apod.

Výstupy testů budou obsahovat doporučení pro nápravu daného stavu. Výsledky některých testů mohou být zkreslené, to jest mohou ukazovat mezery, které v daném systému nejsou (ošetření na hlubší úrovni vnoření, na úrovni knihoven apod.)

Externí penetrační testy lze rozdělit do několika technologických celků:

  • Kontrola DNS
  • Identifikace funkčních systémů
  • Testování routerů
  • Testování firewallů
  • Inventarizace systémů
  • Kontrola operačních systémů

Dodatečné penetrační analýzy slouží na určení zranitelnosti systému hesel, povolení na přístup k souborům, otevřených portů a možných služeb. Zranitelnost vůči známým hackerských technikám jako je např. sniffing, cracking, hijacking a leakage.

Penetrační test může být vykonán bez předcházejícího upozornění personálu zodpovědného za IS, aby se otestovala i jeho připravenost reagovat na možný útok.

  • V průběhu testování se nebudou uskutečňovat destruktivní testy systémů.
  • Reporty budou zákazníkovi předány v originálním a zpracovaném tvaru.
  • V případě zájmu klienta je možné provést i interní penetrační testy v síti
    zákazníka.

Používány mohou být různé způsoby testování nebo i jejich kombinace. e-Business Servives je "enterprice solutions partnerem" společnosti Symantec. Proto můžeme nabídnou i služby dohledového centra Symantec v České republice.

Druhou možností je pravidelné testování, který dnes zajišťujeme jak pro vlastní potřebu tak pro zákazníky uvedené v našich referencích prostřednictvím těchto nástrojů a následujícím způsobem:

  • Bude použito několik různých druhů softwaru a služeb.
  • Budou ručně prováděny testy na aktuální možné nebezpečí a nové bezpečnostní díry.
  • Bude prováděno ruční testování, které je důležité protože žádný software nebude reagovat s updaty dostatečně rychle.
  • Bude proveden sumář jednotlivých reportů s jejich vzájemným porovnáním.
  • V případě objeveních nových skutečností budou připravena možná protiopatření.
  • Pro testování interní sítě bude použit systém vnějšího nebo automatického spuštění a následného vyhodnocení reportu zaslaného dodavateli v kryptované formě.
  • Jednou měsíčně budou interní testy provedeny "in-house" pracovníky e-BS. V těchto případech budou provedeny eventuelní úpravy a aktualizace interních testů.
  • Testy prováděné v případě změny konfigurace datové sítě budou prováděny buď na jednotlivou objednávku nebo v rámci in-house testování jednou měsíčně.

Pro scanovaní sítě budou použity prostředky nmap, nessus a některé další. Jako síťové IDS (pokud ho bude možno umístit do vnitřní datové sítě) lze použit snort, také umíme a můžeme použít hybridní IDS prelude.

Demo fungováni Nessusu naleznete na adrese http://www.tenable.com/products/nessus.

Zdůrazňujeme dynamickou povahu testovaní - tj. testujeme způsobem, který je zrovna třeba, zaměřujeme se na aktuální chyby a nespoléháme jen na jeden software.

Postup řešení pravidelných služeb:

  • Instalace provozovaných služeb
  • Týdenní dohled provozovaných služeb
  • Týdenní zpracování a zasílání reportů
  • Měsíční testy "in-house"
  • Zpracování základního doporučení v případě zjištění nových skutečností
  • Konfigurace standardních služeb (zřízení, změna, zrušení).

Výstupem sledování bude týdenní informace (report - viz příklady v příloze) o zjištěných zranitelnostech jednotlivých serverů (s možností sledovat vývoj v čase), seznam serverů s danou zranitelností a popis zranitelnosti s možnostmi řešení. Tyto reporty bude eBS zasílat zadavateli v elektronické podobě. Typy a způsob provedení reportů bude definitivně určen po dohodě v rámci projednávání smluvních podmínek. V rámci reportů budou posouzeny bezpečnostní díry bude také proveden základní návrh protiopatření. Je si však třeba uvědomit, že neexistuje trvalá záruka bezpečnosti, jediné, co se dá dokázat, je to, že v dané chvíli sytém vykazuje určité bezpečnostní díry s poukazem na jejich nzávažnost, doložit že neexistuje žádná bezpečnostní díra nelze.