تست نفوذ شبکه

خدمات تست نفوذ شبکه

تست نفوذ شبکه

تست نفوذ شبکه، شبیه سازی حملاتی است که نسبت به سرویس ها ارائه شده در شبکه و تجهیزات ارتباطی سازمان و در شرایط کنترل شده انجام می شود. هدف از این حملات، پیدا کردن نقاط ضعف سرویس ها برای برطرف کردن آنها است. هدف از شبیه سازی این حملات شناسایی مسائل امنیتی است قبل از اینکه هکرها بتوانند آنها را پیدا کرده و از آن سوء استفاده کنند.

با وجود تست نفوذ وب چه نیازی به تست نفوذ شبکه وجود دارد؟

در اجرای سیاست های صحیح امنیتی، در طراحی هر سطح از امنیت فرض بر این است که به طرقی هکر توانسته است موارد امنیتی ماقبل را پشت سر بگذارد. ضمنان برخی از حملات  می تواند به شکلی کاملا مستقیم شبکه سازمان را هدف قرار دهد و تست نفوذ خارجی سازمان تحت هیچ شرایطی مصونیتی در مقابل این گونه حملات ندارد. حملات مهندسی اجتماعی، حمله به DNS سرور مایکروسافت (CVE-2020-1350)، آسیب پذیری های مرورگرهای وب مصادیقی از این حملات می باشد. ابزارهای امنیت لبه شبکه مانند Firewall و WAF در مقابل اکثر این حملات بی دفاع هستند. البته حملات شبکه صرفا به این موارد محدود نبوده و طیف وسیعی از موارد را شامل می شوند.

اهداف تست نفوذ شبکه

شناسایی نقاط ضعف در وضعیت امنیتی شبکه سازمان

بررسی میزان انطباق وضعیت امنیتی با سیاست های امنیتی

ارزیابی میزان آگاهی کارمندان از مسائل امنیتی

بررسی اثربخشی واکنش به حادثه های امنیت سایبری (Disaster Recovery) و CERT

برجسته سازی نقاط ضعف سیاست های امنیتی و میزان اثربخشی آنها

ارزیابی عملکرد صحیح سیستم های امنيتی مانند آنتی ویروس، SIEM، SOC و…

ارزیابی امنیت سرویس های شبکه در مقابل آخرين آسيب‌پذيری ها

انواع تست نفوذ شبکه از نظر سطح دسترسی

برخلاف تست نفوذ وب، تست نفوذ شبکه از دیدگاه سطح دسترسی به طیف وسیعی از موارد تقسیم می شود. اما نکته حائز اهمیت در مورد تست نفوذ شبکه این است که در صورتی که هکر موانع امنیتی را پشت سر گذاشته باشد، به سطح دسترسی های مختلفی میتواند رسیده باشد. البته باتوجه به اهداف مخربی که دارد ممکن است به بالاترین سطح دسترسی ها اصلا نیاز نداشته باشد. پس تست نفوذ شبکه بایستی تمام حالات را در نظر بگیرد. حتی بایستی نسبت به اینکه هکر بالاترین دسترسی ها را دارد پیش بینی های لازم جهت شناسایی و یا جلوگیری از اهداف مخرب داشته باشیم. در حالت کلی می توان کمترین دسترسی ممکن یعنی دسترسی به یکی از نودهای شبکه را به عنوان تست نفوذ احراز هویت نشده در نظر گرفت. در مقابل دسترسی مدیر یکی از بخش ها را (مدیر یک zone) به عنوان تست نفوذ احراز هویت شده در نظر گرفت.

انواع تست نفوذ شبکه از نظر متدولوژی

جعبه سیاه [Black Box]

تست نفوذ جعبه سیاه شبکه در نزدیکترین شرایط به حمله خارجی که توسط یک هکر ناشناخته از راه دور انجام می شود را دارد. به این معنی که قبل از شروع تست نفوذ اطلاعاتی (تقریباً هیچ اطلاعاتی) در اختیار تست نفوذ کننده قرار نمیگیرد. عبارت جعبه سیاه به این اشاره دارد، که بدون دانستن عملکرد داخلی شبکه انجام می شود. آزمونگر فقط به یکی از نودهای شبکه در یکی از محدودترین vlan ها بدون اطلاع از ساختار شبکه دسترسی دارد. بنابراین سطح حمله گسترده است.

جعبه خاکستری [Gray Box]

تست نفوذ جعبه خاکستری تستی است که در آن اطلاعات جزئی در اختیار تست نفوذ کننده قرار میگیرد. این تست گستره بزرگی از مصادیق را شامل می شود. نکته حائز اهمیت این است که بایستی بین تست نفوذ جعبه خاکستری و تست نفوذ احراز هویت شده تمایز قائل بود. مرزها در تست نفوذ احراز هویت شده بسیار مشخص است. در حالی که در تست نفوذ جعبه خاکستری مصادیق بسیار متنوعی وجود دارد. اطلاعاتی از قبیل ساختار vlanها، سرورهای مجازی و حتی پسورد برخی از سرویس ها می توانند مصادیقی از تست نفوذ جعبه خاکستری شبکه تلقی شوند.

جعبه سفید [White Box]

تست نفوذ جعبه سفید دقیقا نقطه مقابل جعبه سیاه قرار دارد به این معنی که حدأکثر میزان اطلاعات قبل از اجرای آزمون در اختیار تیم ارزیابی تست نفوذ قرار می گیرد. این اطلاعات می تواند ساختار کامل شبکه، پسوردهای با بالاترین سطح دسترسی، سیستم های امنیتی و… باشد. بسته به ارزیابی و تفاهم کارفرما و پیمانکار و نوع سناریو طراحی میزان اطلاعاتی که در اختیار پیمانکار قرار می گیرد می تواند متقاوت باشد. این نوع از تست نفوذ معمولا زمانی مورد استقبال قرار می گیرد که یا میخواهیم خراب کاری های (احتمالی) هکرها را شناسایی کنیم و یا هدف Hardening کامل شبکه پس از تست های از نوع جعبه سیاه یا خاکستری انجام شده باشند.

استانداردها

تست نفوذ شبکه برخلاف تست نفوذ وب طیف وسیعی از سرویس ها، نرم افزارها و سخت افزارها را شامل می شود که در نوبه خود در صورتی که دارای مشکلات امنیتی اعم از عدم پیکربندی صحیح و یا آسیب پذیری های منطقی باشند ممکن است سازمان را دچار بحران کنند. در متدولوژی تست نفوذ شبکه سدید ابتدا سرویس ها دسته بندی شده و سپس حملات آن ها شبه سازی می شوند. نکته مهم در تست نفوذ شبکه این است که احتمال آسیب یا توقف سرویس ها به نسبت تست نفوذ وب بسیار بالاتر است فلذا اهمیت این آزمون ها بسیار بالا بوده و بایستی نسبت به اشراف دانش آزمونگر اطمینان حاصل گردد. برخی از تست های شبکه توسط تیم سدید عبارتند از:

  • تست نفوذ سیستم عامل های کلاینت ویندوزی
  • تست نفوذ از راه دور و لوکال سیستم عامل های سرور ویندوزی
  • تست نفوذ از راه دور و لوکال سیستم عامل های سرور لینوکسی
  • تست نفوذ سرویس های زیرساختی شبکه (DHCP / DNS / Mail / Print و …)
  • تست نفوذ AD
  • تست نفوذ تجهیزات زیرساخت شبکه (روتر / سوئیچ و ….)
  • تست نفوذ لایه های مختلف شبکه (Layer 2 / Layer 3)
  • تست نفوذ نرم افزارهای کاربردی
  • تست نفوذ افزایش دسترسی (Privilege Escalation)
  • تست انواع اکسپلویت های مرتبط با سرویس ها و نرم افزارها
  • تست نفوذ پایگاه های داده
  • و….

مراحل تست نفوذ شبکه

برای اجرای تست نفوذ توسط تیم سدید گام هایی وجود دارد که عبارتند از:

  1. عقد قرارداد NDA
  2. تعیین دامنه تست نفوذ و متدولوژی
  3. برآورد هزینه و عقد قرارداد
  4. اجرای تست نفوذ
  5. گزارش اجرای تست نفوذ و ارائه راهکارهای مناسب
  6. تست نفوذ مجدد و بازبینی رفع آسیب پذیری ها

لازم به ذکر است جزئیات قابل توجهی با توجه به نیازمندی های کارفرما در قرار داد گنجانده می شود. این جزئیات می تواند مکان فیزیکی اجرای تست، میزان جمع آوری Evidence جهت مستند سازی و … باشد. سدید امکان طراحی سیاست های امنیتی به روز را نیز میتواند در اختیار کارفرما قرار دهد. سدید از دیدگاه فنی، تست نفوذ [جعبه سیاه] را بر اساس گامهایی استاندارد اجرا می کند که به شکل مستند در اختیار کارفرما قرار می­دهد. مستند سازی گام ها از جهات مختلف قابل استفاده است. اولین مورد از کارکرد مستند سازی، ارزیابی اشراف پیمانکار از سوی کارفرما می باشد تا درصورتی که اطلاعات ناقصی جمع آوری و بر اساس آنها ارزیابی های امنیتی صورت گرفته باشد اصلاح شود. بررسی میزان عمق تست نفوذ از دیگر فواید مستند سازی دقیق عملکردها است.

زمان لازم برای اجرای تست

برآورد زمان تست نفوذ کاملا بستگی به پارامترهای متنوعی دارد که به برخی از آنها اشاره میشود.

  1. تعداد کلاینت ها
  2. تعداد سرویس ها
  3. تنوع سرویس های شبکه
  4. تعداد Zone ها
  5. تعداد VPN ها Site2Site با شعبات
  6. محل اجرای تست نفوذ

و…

گزارش تست

پس از اجرای آزمون تست نفوذ برای محدوده مشخص شده، گزارشی از سوی تیم سدید ارائه می­شود که شامل موارد زیر است:

  1. لیست سرویس ها
  2. سیستم های دفاعی شناسایی شده (WAF / Firewall و…)
  3. نقاط مثبت شناسایی شده
  4. آسیب پذیری های یافت شده به بهمراه Evidence، نحوه کارکرد آسیب پذیری و دامنه تأثیر گذاری
  5. میزان خطرناک بودن آسیب پذیری های شناسایی شده
  6. پیشنهادات فنی (مختصر) جهت رفع آسیب پذیری ها
  7. گزارش مدیریتی اجرای پروژه

لینکهای مفید مرتبط

مطالعه بیشتر در زمینه استاندارد OWASP مراحل اجرای تست نفوذ به صورت گام به گام

در این که سازمان شما به تست نفوذ نیاز دارد مطمئن نیستید؟ از مشاوره رایگا تیم سدید استفاده کنید.

با سایر خدمات سدید بیشتر آشنا شوید:

خدمات تست نفوذ وب

خدمات باز طراحی و امن سازی شبکه

ارائه راهکارهای پشتیبان گیری اطلاعات در مراکز داده