1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Bài Giảng An Ninh Mạng Penetration Testing

32 781 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 32
Dung lượng 3,5 MB

Nội dung

 Trong giai đoạn của kiểm thử thâm nhập, thử nghiệm được giới hạn bởi các tài nguyên cụ thể là thời gian, nguồn lực có tay nghề cao, và truy cập vào thiết bị như đã nêu trong thỏa thu

Trang 1

Trường CĐ CNTT Hữu Nghị Việt Hàn

Khoa Khoa Học Máy Tính

Đề tài: Penetration Testing

GVHD: Lê Tự Thanh

Lớp: MM03A

Thực hiện: Nhóm 17

Trang 2

THÀNH VIÊN NHÓM

 Đinh Tuấn Nghĩa

 Phan Bình Minh

Trang 3

NỘI DUNG

Lộ Trình Các giai đoạn

Trang 4

Khái Niệm

Penetration Testing là gì?

Penetration Testing là 1 phương thức nhằm đánh giá, ước

chừng độ an toàn và tin cậy của 1 hệ thống máy tính hay 1 môi trường mạng bằng cách giả lập (simulating) 1 cuộc tấn công từ hacker

Trong giai đoạn của kiểm thử thâm nhập, thử nghiệm được

giới hạn bởi các tài nguyên cụ thể là thời gian, nguồn lực có

tay nghề cao, và truy cập vào thiết bị như đã nêu trong thỏa thuận Pen-test

Hầu hết các kẻ tấn công theo một cách tiếp cận chung để thâm nhập vào một hệ thống

Trang 5

KHÁI NIỆM

ĐÁNH GIÁ BẢO MẬT

Mỗi loại hình đánh giá an toàn đòi hỏi người thực hiện việc đánh giá phải có kỹ

Trang 6

KHÁI NỆM

Hạn chế của Penetration Testin

 Phần mềm đánh gí bảo mật bị giới hạn trong khả

nawg phát hiện các lỗ hổng tại một điểm nhất định

trong thời gian nhất định

 Nó phải được cập nhật khi các lỗ hổng mới được phát hiện hoặc các sửa đổi được làm cho các phần mềm

đang được sử dụng

 Phương pháp được sử dụng cũng như các phần mềm Vulnerability scanning đa dạng đánh giá an ninh khác nhau

Trang 7

KHÁI NIỆM

Tại sao phải sử dụng Penetration Testing?

 Xác định các mối đe dọa đối với tài sản thông tin của một tổ chức

 Giảm chi phí bảo mật của một tổ chức và đầu tư công nghệ bảo mật một cách tốt hơn bằng cách xác định

và giải quyết các lỗ hổng và điểm yếu

 Nó tập trung vào các lỗ hổng có mức độ cao và nhấn mạnh các vấn đề bảo mật cấp độ ứng dụng cho các

nhóm phát triển và quản lý

Trang 8

KHÁI NIỆM

Điểm kiểm tra

Trang 9

CÁC HÌNH THỨC KIỂM TRA

Các loại kiểm thử xâm nhập

 Kiểm tra bên ngoài: Kiểm tra bên ngoài bao gồm phân tích các thông tin công khai sẵn có, một giai đoạn liệt

kê mạng lưới, và hoạt động của các thiết bị phân tích

an ninh

 Kiểm tra nội bộ: Kiểm tra nội bộ sẽ được thực hiện

từ một số điểm truy cập mạng, đại diện cho mỗi phân đoạn logic và vật lý

Trang 10

CÁC HÌNH THỨC KIỂM TRA

Kiểm tra bên ngoài

 Đó là phương pháp truyền thống để thử nghiệm thâm nhập

 Kiểm tra tập trung vào cơ sở hạ tầng máy chủ và phần mềm cơ bản gồm các mục tiêu

 Nó có thể được thực hiện mà không cần biết thông

tin trước đó của trang web (hộp đen)

Trang 11

CÁC HÌNH THỨC KIỂM TRA

Kiểm tra nội bộ

 Việc kiểm tra sẽ được thực hiện từ một số các điểm

truy cập mạng, đại diện cho mỗi phân đoạn logic và vật lý

 Ví dụ, điều này có thể bao

gồm lớp và DMZs trong môi trường mạng nội bộ

công ty hoặc kết nối các công ty đối tác

 Đánh giá an ninh nội bộ theo một phương pháp tương

tự để kiểm tra bên ngoài, nhưng cung cấp một cái

Trang 12

KỸ THUẬT KIỂM TRA

Các kỹ thuật kiểm thử thâm nhập phổ biến

Trang 13

KỸ THUẬT KIỂM TRA

Trang 14

CÁC GIAI ĐOẠN KIỂM TRA

Các giai đoạn trước khi tấn công

 Giai đoạn trước khi tấn công là đề cập đến chế độ của cuộc tấn công và mục tiêu phải đạt được

 Do thám được coi là giai đoạn trong giai đoạn trước khi tấn công để xác định vị trí, thu thập, xác định và ghi thông tin về mục tiêu

 Hacker tìm kiếm để tìm hiểu càng nhiều thông tin của nan nhân càng tốt

Trang 15

CÁC GIAI ĐOẠN KIỂM TRA

Giai đoạn tấn công

Trang 16

CÁC GIAI ĐOẠN KIỂM TRA

Giai đoạn sau tấn công

 Giai đoạn này quan trọng đối với bất kỳ kiểm tra thâm nhập vì nó có trách nhiệm để khôi phục lại các

Trang 17

CÁC GIAI ĐOẠN KIỂM TRA

Sản phẩm của việc kiểm tra

 Báo cáo pen-test cho biết chi tiết của các sự cố trong các quá trình thủ nghiệm và phạm vị hoạt động

 Lĩnh vực lớn bao gồm mục tiêu, quan sát, thực hiện các hoạt động, và báo cáo các sự cố

 Nhóm nghiện cứu cũng có thể đề nghị biện pháp khắc phục dự trên các quy tắt tham gia

Trang 18

LỘ TRÌNH KIỂM TRA

Trang 19

LỘ TRÌNH KIỂM TRA

Trang 20

LỘ TRÌNH KIỂM TRA

Đánh giá bảo mật ứng dụng

 Ngay cả trong một cơ sở hạ tầng được triển khai và bảo đảm, một ứng dụng yếu có thể tiếp xúc với thông tin quý giá của tổ chức là điều không thể chấp nhận được

 Ứng dụng đánh giá an ninh được thiết kế để xác định và đánh giá các mối đe dọa cho tổ chức thông qua bespoke, các ứng dụng độc quyền hoặc các hệ thống

 Thử nghiệm này kiểm tra ứng dụng để người dùng có ý đồ không tốt không thể truy cập, sửa đổi phá hủy dữ liệu hoặc các dịch vụ trong hệ thống

Trang 21

LỘ TRÌNH KIỂM TRA

Đánh giá an ninh mạng

 Quá trình sẽ quét trên môi trường mạng để xác định các lỗ hổng và giúp cải thiện chính sách bảo mật của doanh nghiệp

 Nó phát hiện ra lỗi an ninh mạng có thể dẫn đến dữ liệu hoặc thiết bị đang được khai thác hoặc bị phá hủy bởi các trojan, các cuộc tấn công từ chối dịch vụ , và sự xâm nhập khác

 Quá trình được thực hiện bởi nhóm tìm cách đột nhập vào mạng hoặc máy chủ

Trang 22

LỘ TRÌNH KIỂM TRA

Đánh giá Wireless/Remoter Access

 Đánh giá wireless/Remote Access giải quyết rủi ro về bảo mật với sự gia tăng ngày càng tăng của thiết bị di động

Trang 23

LỘ TRÌNH KIỂM TRA

Đánh giá bảo mật hệ thống điện thoại

 Một đánh giá an ninh điện thoại địa chỉ các mối quan tâm an ninh liên quan đến công nghệ giọng nói của công ty

 Điều này bao gồm sự lạm dụng của tổng đài nhánh riêng" PBXS" bởi người ngoài để định tuyến của mục tiêu với chi phí, triển khai hộp thư và an ninh, thoại qua IP (VoIP) , sử dụng trái phép modem, và những rủi ro liên quan

Trang 24

GIA CÔNG PHẦN MỀM

Điều khoản cam kết

 Một tổ chức trừng phạt một pentest chống lại bất

kỳ hệ thống sản xuất của mình sau khi nó

đồng ý theo quy tắc quy định rõ ràng cam kết

 Nó phải nêu rõ các điều khoản tham chiếu theo

đó các cơ quan có thể tương tác với các tổ chức

 Nó có thể xác định mã mong muốn của hành vi, các thủ tục O để được theo sau, và bản chất của sự thương tác giữa các xét nghiệm và tổ chức

Trang 25

GIA CÔNG PHẦN MỀM

Quy mô dự án

 Việc xác định phạm vi của pentest là điều cần thiết để quyết định nếu thử nghiệm là một thử nghiệm nhắm mục tiêu hoặc kiểm tra một cách toàn diện

 Đánh giá toàn diện được phối hợp những nỗ lực bởi các tôt chức pentest để phát hiện ra các lỗ hổng càng nhiều càng tốt trong toàn bộ tổ chức

 Một thử nghiệm nhắm mục tiêu sẽ tìm cách xác

Trang 26

GIA CÔNG PHẦN MỀM

Cấp độ thỏa thuận dịch vụ Pen-test

Trang 27

CÔNG CÔNG CỤ PEN-TEST

Đánh giá các loại khác nhau của công cụ Test

Trang 28

Pen-CÔNG CỤ PEN-TEST

Giớ thiệu một số công cụ

Trang 29

THE END

Trang 30

CHUYỂN MẠCH MỀM

RTP (Real Time Protocol)

 Sequence number: số thứ tự truyền đi

 Timestamp: đảm bảo thời gian thực

 Synchronising source (SSRC) identifier: số nhận dạng nơi gốc phát dữ liệu

 Contributing source (CCRC) identifier: số nhận dạng nới pháp dữ liệu cùng tham gia vào phiên làm việc với SSRC

Trang 31

KẾT LUẬN

NGN là mạng của tương lai

 Tận dụng tối đa hạ tầng mạng

 Chi phí đầu tư rất tốn kém

 Tiết kiệm chi phí bảo trì, bảo dưỡng

 Tốc độ kết nối cực nhanh

 Cung cấp các dịch vụ dễ dàng và dễ dàng cập nhật

Trang 32

Thank You!

Every One Listen To Group

Ngày đăng: 17/10/2015, 13:11

TỪ KHÓA LIÊN QUAN

w