VIET-HAN Trường CĐ CNTT Hữu Nghị Việt Hàn Khoa Khoa Học Máy Tính Đề tài: Penetration Testing GVHD: Lê Tự Thanh Lớp: MM03A Thực hiện: Nhóm 17 THÀNH VIÊN NHÓM  Đinh Tuấn Nghĩa  Phan Bình Minh 14/01/2016 VIET HAN NỘI DUNG Khái niệm Các hình thức Kĩ thuật NGN Các giai đoạn Lộ Trình Gia Công Phần Mềm Công Cụ Penetration Testing 14/01/2016 VIET HAN Khái Niệm  Penetration Testing gì?  Penetration Testing phương thức nhằm đánh giá, ước chừng độ an toàn tin cậy hệ thống máy tính hay môi trường mạng cách giả lập (simulating) công từ hacker  Trong giai đoạn kiểm thử thâm nhập, thử nghiệm giới hạn tài nguyên cụ thể thời gian, nguồn lực có tay nghề cao, truy cập vào thiết bị nêu thỏa thuận Pen-test  Hầu hết kẻ công theo cách tiếp cận chung để thâm nhập vào hệ thống 14/01/2016 VIET HAN KHÁI NIỆM  ĐÁNH GIÁ BẢO MẬT Mỗi loại hình đánh giá an toàn đòi hỏi người thực việc đánh giá phải có kỹ khác 14/01/2016 VIET HAN KHÁI NỆM  Hạn chế Penetration Testin  Phần mềm đánh gí bảo mật bị giới hạn khả nawg phát lỗ hổng điểm định thời gian định  Nó phải cập nhật lỗ hổng phát sửa đổi làm cho phần mềm sử dụng  Phương pháp sử dụng phần mềm Vulnerability scanning đa dạng đánh giá an ninh khác 14/01/2016 VIET HAN KHÁI NIỆM  Tại phải sử dụng Penetration Testing?  Xác định mối đe dọa tài sản thông tin tổ chức  Giảm chi phí bảo mật tổ chức đầu tư công nghệ bảo mật cách tốt cách xác định giải lỗ hổng điểm yếu  Nó tập trung vào lỗ hổng có mức độ cao nhấn mạnh vấn đề bảo mật cấp độ ứng dụng cho nhóm phát triển quản lý 14/01/2016 VIET HAN KHÁI NIỆM  Điểm kiểm tra 14/01/2016 VIET HAN CÁC HÌNH THỨC KIỂM TRA  Các loại kiểm thử xâm nhập  Kiểm tra bên ngoài: Kiểm tra bên bao gồm phân tích thông tin công khai sẵn có, giai đoạn liệt kê mạng lưới, hoạt động thiết bị phân tích an ninh  Kiểm tra nội bộ: Kiểm tra nội thực từ số điểm truy cập mạng, đại diện cho phân đoạn logic vật lý 14/01/2016 VIET HAN CÁC HÌNH THỨC KIỂM TRA  Kiểm tra bên  Đó phương pháp truyền thống để thử nghiệm thâm nhập  Kiểm tra tập trung vào sở hạ tầng máy chủ phần mềm gồm mục tiêu  Nó thực mà không cần biết thông tin trước trang web (hộp đen) 14/01/2016 10 VIET HAN LỘ TRÌNH KIỂM TRA 14/01/2016 18 VIET HAN LỘ TRÌNH KIỂM TRA 14/01/2016 19 VIET HAN LỘ TRÌNH KIỂM TRA Đánh giá bảo mật ứng dụng  Ngay sở hạ tầng triển khai bảo đảm, ứng dụng yếu tiếp xúc với thông tin quý giá tổ chức điều chấp nhận  Ứng dụng đánh giá an ninh thiết kế để xác định đánh giá mối đe dọa cho tổ chức thông qua bespoke, ứng dụng độc quyền hệ thống  Thử nghiệm kiểm tra ứng dụng để người dùng có ý đồ không tốt truy cập, sửa đổi phá hủy liệu dịch vụ hệ thống 14/01/2016 20 VIET HAN LỘ TRÌNH KIỂM TRA Đánh giá an ninh mạng  Quá trình quét môi trường mạng để xác định lỗ hổng giúp cải thiện sách bảo mật doanh nghiệp  Nó phát lỗi an ninh mạng dẫn đến liệu thiết bị khai thác bị phá hủy trojan, công từ chối dịch vụ , xâm nhập khác  Quá trình thực nhóm tìm cách đột nhập vào mạng máy chủ  14/01/2016 21 VIET HAN LỘ TRÌNH KIỂM TRA  Đánh giá Wireless/Remoter Access  Đánh giá wireless/Remote Access giải rủi ro bảo mật với gia tăng ngày tăng thiết bị di động 14/01/2016 22 VIET HAN LỘ TRÌNH KIỂM TRA Đánh giá bảo mật hệ thống điện thoại  Một đánh giá an ninh điện thoại địa mối quan tâm an ninh liên quan đến công nghệ giọng nói công ty  Điều bao gồm lạm dụng tổng đài nhánh riêng" PBXS" người để định tuyến mục tiêu với chi phí, triển khai hộp thư an ninh, thoại qua IP (VoIP) , sử dụng trái phép modem, rủi ro liên quan 14/01/2016 23 VIET HAN GIA CÔNG PHẦN MỀM Điều khoản cam kết  Một tổ chức trừng phạt pentest chống lại hệ thống sản xuất sau đồng ý theo quy tắc quy định rõ ràng cam kết  Nó phải nêu rõ điều khoản tham chiếu theo quan tương tác với tổ chức  Nó xác định mã mong muốn hành vi, thủ tục O để theo sau, chất thương tác xét nghiệm tổ chức 14/01/2016 24 VIET HAN GIA CÔNG PHẦN MỀM Quy mô dự án  Việc xác định phạm vi pentest điều cần thiết để định thử nghiệm thử nghiệm nhắm mục tiêu kiểm tra cách toàn diện  Đánh giá toàn diện phối hợp nỗ lực tôt chức pentest để phát lỗ hổng nhiều tốt toàn tổ chức  Một thử nghiệm nhắm mục tiêu tìm cách xác định lỗ hổng hệ thống cụ thể thực tiễn 14/01/2016 25 VIET HAN GIA CÔNG PHẦN MỀM  Cấp độ thỏa thuận dịch vụ Pen-test 14/01/2016 26 VIET HAN CÔNG CÔNG CỤ PEN-TEST  Đánh giá loại khác công cụ PenTest 14/01/2016 27 VIET HAN CÔNG CỤ PEN-TEST  Giớ thiệu số công cụ 14/01/2016 28 VIET HAN THE END 14/01/2016 29 VIET HAN CHUYỂN MẠCH MỀM  RTP (Real Time Protocol)  Sequence number: số thứ tự truyền  Timestamp: đảm bảo thời gian thực  Synchronising source (SSRC) identifier: số nhận dạng nơi gốc phát liệu  Contributing source (CCRC) identifier: số nhận dạng nới pháp liệu tham gia vào phiên làm việc với SSRC 14/01/2016 30 VIET HAN KẾT LUẬN  NGN mạng tương lai      Tận dụng tối đa hạ tầng mạng Chi phí đầu tư tốn Tiết kiệm chi phí bảo trì, bảo dưỡng Tốc độ kết nối cực nhanh Cung cấp dịch vụ dễ dàng dễ dàng cập nhật 14/01/2016 31 VIET HAN VIET-HAN Thank You! Every One Listen To Group [...]... một cái nhìn đầy đủ hơn về an ninh của trang web 14/01/2016 11 VIET HAN KỸ THUẬT KIỂM TRA  Các kỹ thuật kiểm thử thâm nhập phổ biến         Nghiên cứu bị động Giám sát mã nguồn mở Lập bảng đồ mạng và điều hành vân tay Giả mạo Network Sniffing Trojan tấn công Quét lỗ hổng Phât tích tình huống 14/01/2016 12 VIET HAN KỸ THUẬT KIỂM TRA   Dữ liệu trên các máy chủ DNS liên quan đến mạng lưới các...CÁC HÌNH THỨC KIỂM TRA Kiểm tra nội bộ  Việc kiểm tra sẽ được thực hiện từ một số các điểm truy cập mạng, đại diện cho mỗi phân đoạn logic và vật lý  Ví dụ, điều này có thể bao gồm lớp và DMZs trong môi trường mạng nội bộ công ty hoặc kết nối các công ty đối tác  Đánh giá an ninh nội bộ theo một phương pháp tương tự để kiểm tra bên ngoài, nhưng cung cấp một cái nhìn... công 14/01/2016 15 VIET HAN CÁC GIAI ĐOẠN KIỂM TRA  Giai đoạn sau tấn công  Giai đoạn này quan trọng đối với bất kỳ kiểm tra thâm nhập vì nó có trách nhiệm để khôi phục lại các hệ thống trước kia • Loại bỏ tất cả các tập tin đã tải lên trên hệ thống • Làm sạch tất cả các mục đăng ký và loại bỏ lỗ hổng • Loại bỏ tất cả các công cụ và khai thác từ các hệ thống thử nghiệm • Phân tích tất cả các kết quả... ĐOẠN KIỂM TRA  Sản phẩm của việc kiểm tra  Báo cáo pen-test cho biết chi tiết của các sự cố trong các quá trình thủ nghiệm và phạm vị hoạt động  Lĩnh vực lớn bao gồm mục tiêu, quan sát, thực hiện các hoạt động, và báo cáo các sự cố  Nhóm nghiện cứu cũng có thể đề nghị biện pháp khắc phục dự trên các quy tắt tham gia 14/01/2016 17 VIET HAN LỘ TRÌNH KIỂM TRA 14/01/2016 18 VIET HAN LỘ TRÌNH KIỂM TRA... HAN LỘ TRÌNH KIỂM TRA Đánh giá an ninh mạng  Quá trình sẽ quét trên môi trường mạng để xác định các lỗ hổng và giúp cải thiện chính sách bảo mật của doanh nghiệp  Nó phát hiện ra lỗi an ninh mạng có thể dẫn đến dữ liệu hoặc thiết bị đang được khai thác hoặc bị phá hủy bởi các trojan, các cuộc tấn công từ chối dịch vụ , và sự xâm nhập khác  Quá trình được thực hiện bởi nhóm tìm cách đột nhập vào mạng... MỀM Quy mô dự án  Việc xác định phạm vi của pentest là điều cần thiết để quyết định nếu thử nghiệm là một thử nghiệm nhắm mục tiêu hoặc kiểm tra một cách toàn diện  Đánh giá toàn diện được phối hợp những nỗ lực bởi các tôt chức pentest để phát hiện ra các lỗ hổng càng nhiều càng tốt trong toàn bộ tổ chức  Một thử nghiệm nhắm mục tiêu sẽ tìm cách xác định các lỗ hổng trong hệ thống cụ thể và thực... VIET HAN LỘ TRÌNH KIỂM TRA Đánh giá bảo mật ứng dụng  Ngay cả trong một cơ sở hạ tầng được triển khai và bảo đảm, một ứng dụng yếu có thể tiếp xúc với thông tin quý giá của tổ chức là điều không thể chấp nhận được  Ứng dụng đánh giá an ninh được thiết kế để xác định và đánh giá các mối đe dọa cho tổ chức thông qua bespoke, các ứng dụng độc quyền hoặc các hệ thống  Thử nghiệm này kiểm tra ứng dụng... Quá trình được thực hiện bởi nhóm tìm cách đột nhập vào mạng hoặc máy chủ  14/01/2016 21 VIET HAN LỘ TRÌNH KIỂM TRA  Đánh giá Wireless/Remoter Access  Đánh giá wireless/Remote Access giải quyết rủi ro về bảo mật với sự gia tăng ngày càng tăng của thiết bị di động 14/01/2016 22 VIET HAN LỘ TRÌNH KIỂM TRA Đánh giá bảo mật hệ thống điện thoại  Một đánh giá an ninh điện thoại địa chỉ các mối quan tâm... GIAI ĐOẠN KIỂM TRA  Các giai đoạn trước khi tấn công  Giai đoạn trước khi tấn công là đề cập đến chế độ của cuộc tấn công và mục tiêu phải đạt được  Do thám được coi là giai đoạn trong giai đoạn trước khi tấn công để xác định vị trí, thu thập, xác định và ghi thông tin về mục tiêu  Hacker tìm kiếm để tìm hiểu càng nhiều thông tin của nan nhân càng tốt 14/01/2016 14 VIET HAN CÁC GIAI ĐOẠN KIỂM TRA ... nội theo phương pháp tương tự để kiểm tra bên ngoài, cung cấp nhìn đầy đủ an ninh trang web 14/01/2016 11 VIET HAN KỸ THUẬT KIỂM TRA  Các kỹ thuật kiểm thử thâm nhập phổ biến         Nghiên... quản lý 14/01/2016 VIET HAN KHÁI NIỆM  Điểm kiểm tra 14/01/2016 VIET HAN CÁC HÌNH THỨC KIỂM TRA  Các loại kiểm thử xâm nhập  Kiểm tra bên ngoài: Kiểm tra bên bao gồm phân tích thông tin công... niệm Các hình thức Kĩ thuật NGN Các giai đoạn Lộ Trình Gia Công Phần Mềm Công Cụ Penetration Testing 14/01/2016 VIET HAN Khái Niệm  Penetration Testing gì?  Penetration Testing phương thức nhằm