Εφαρμογή πλαισίου δοκιμής διείσδυσης για την αξιολόγηση της ασφάλειας
Application of a penetration testing framework for security assessment
Προβολή/
Λέξεις κλειδιά
Penetration test ; Security assessment ; MetasploitΠερίληψη
Στο σημερινό κατανεμημένο υπολογιστικό περιβάλλον όπου τα δίκτυα υπολογιστών και το διαδίκτυο είναι τα μέσα επικοινωνίας και ανταλλαγής πληροφοριών, η ασφάλεια γίνεται όλο και περισσότερο περισσότερο θέμα. Η ασφάλεια στα δίκτυα υπολογιστών και στο διαδίκτυο έχει σοβαρές επιπτώσεις στο σημερινό δυναμικό εργασιακό περιβάλλον. Η ασφάλεια είναι πλέον βασική απαίτηση επειδή η κατανεμημένη πληροφορική είναι ανασφαλής. Σε έναν οργανισμό, ανεξάρτητα από το μέγεθος και τον όγκο του, πολύ σημαντική είναι η βελτίωση της ασφάλειας υποδομής υπολογιστών. Ωστόσο, με ταχεία εμφάνιση νέων ευπαθιών και αδυναμιών, κάποια στιγμή ακόμη και ένα πλήρως διορθωμένο σύστημα ή δίκτυο έχουν ελαττώματα ασφαλείας. Υπάρχoυν διαφορετικά μέτρα ασφάλειας που μπορούν να εφαρμοστούν ώστε να ασφαλιστεί το δίκτυο ή το σύστημα. Ο καλύτερος τρόπος για να διασφαλιστεί ότι το δίκτυο ή το σύστημα είναι ασφαλές, είναι η δοκιμή διείσδυσης, η οποία μπορεί να παρέχει μια ρεαλιστική αξιολόγηση της ασφάλειας με τον εντοπισμό των τρωτών σημείων και των αδυναμιών που υπάρχουν στην υποδομή ενός δικτύου. Η δοκιμή διείσδυσης χρησιμοποιεί τις ίδιες αρχές όπως και οι χάκερ για να διεισδύσουν στην υποδομή δικτύου υπολογιστών και έτσι να επαληθεύσουν την παρουσία ελαττωμάτων και ευπαθιών όπου βοηθάνε στην επιβεβαίωση των μέτρων ασφαλείας.
Η διατριβή ξεκινά με τον καθορισμό του θεωρητικού υπόβαθρου μιας δοκιμής διείσδυσης. Στη συνέχεια προχωρά στις φάσεις που υπάρχουν και στην κατάλληλη μεθοδολογία. Στο πρακτικό κομμάτι θα δούμε μια προσομοίωση επιθέσεων σε ένα δίκτυο με μερική γνώση του συστήματος ή του δικτύου. Θα χρησιμοποιηθούν εργαλεία ανοιχτού κώδικα για παρακολούθηση δικτύου, σαρωτές πορτών, σαρωτές ευπαθειών αλλά και εφαρμογή πλαισίου δοκιμής διείσδυσης.
Ο στόχος αυτής της διατριβής είναι να εντοπίσει και να εξηγήσει μια κατάλληλη μεθοδολογία για τη δοκιμή διείσδυσης, να απεικονίσει σχετικά εργαλεία ανοιχτού κώδικα αλλά και εφαρμογή πλαισίου εκμετάλλευσης αδυναμιών που μπορούν να χρησιμοποιηθούν ώστε να διασφαλιστεί ότι το δίκτυο και τα συστήματα ενός οργανισμού είναι ασφαλές.