IT Professional Security - ΤΕΥΧΟΣ 30

More documents

Info

P RACTICAL Ethical Hacking και Κωνσταντίνος Βαβούσης Strategic Manager Trust-IT kvav@trust-it.gr, Τεχνική Επιμέλεια: Ιωάννης Πετρόπουλος IT Security Engineer, Trust-IT εργαλεία ελέγχων ασφαλείας Μ ε το δεδομένο αυτό είναι αναγκαίο να εξασφαλίζεται σε πρώτο χρόνο ο σαφής σχεδιασμός της αρχιτεκτονικής α- σφάλειας, της πολιτικής αλλά και των διαδικασιών που έχουν υιοθετηθεί από το τμήμα πληροφορικής της εκάστοτε εταιρείας. Για την υλοποίηση των παραπάνω γίνεται όλο και πιο δημοφιλής ως πρακτική ασφαλείας το ethical hacking. Ένας ethical hacker συνήθως απασχολείται από μια εταιρεία, η οποία τον εμπιστεύεται στον έλεγχο των πληροφοριακών της υποδομών. Προσπαθώντας να διεισδύσει στο δίκτυο και τα υπολογιστικά συστήματα της εκάστοτε εταιρείας, χρησιμοποιεί τις ίδιες μεθόδους με έναν κακόβουλο εισβολέα, με Με την ανάγκη για ασφάλεια συνεχώς να αυξάνεται σε Οργανισμούς και επιχειρήσεις - κυρίως εκείνων που σχεδιάζουν να υιοθετήσουν νέες τεχνολογίες όπως IT outsourcing, virtualization και cloud computing, θα πρέπει να υπάρχει η ικανότητα να προσδιορίζεται και να αντιμετωπίζεται κάθε απειλή αποτελεσματικά και με συνέπεια. σκοπό την επιτυχή εύρεση και τον καθορισμό των τρωτών σημείων. Τη σημερινή εποχή οι ethical hackers είναι μηχανικοί ασφαλείας με προηγμένες γνώσεις πληροφορικής, οι οποίοι εξειδικεύονται σε ελέγχους ασφαλείας πληροφοριακών συστημάτων, χρησιμοποιώντας ποικίλες μεθόδους, με σκοπό τη διασφάλιση των δικτυακών υποδομών - τόσο ιδιωτών όσο και εταιρειών. Το προσωνύμιο “white hat”, συνώνυμο του “ethical hacker”, κατά το οποίο υποδηλώνεται ο χρήστης ο οποίος προστατεύει και διασφαλίζει πληροφοριακά συστήματα, δόθηκε κατά την πρώιμη εποχή της πληροφορικής, υποδηλώνοντας το χρήστη ο οποίος προστατεύει και διασφαλίζει 40 | security
πληροφοριακά συστήματα. Όταν ακούμε επομένως το χαρακτηρισμό hacker, δεν θα πρέπει να πηγαίνει πάντοτε ο νους μας στο κακό. Σε κάθε περίπτωση όμως, όταν προσπαθούμε να διεισδύσουμε σε μια πληροφοριακή υποδομή προτού αποκτήσουμε είτε παράνομη είτε νόμιμη πρόσβαση σε ένα δίκτυο, θα πρέπει να γνωρίζουμε ποια είναι τα πιο αδύναμα σημεία. Για να αποκτήσουμε αυτή τη γνώση χρησιμοποιούμε εργαλεία ανίχνευσης ευπαθειών για να αποκαλυφθούν τα τρωτά σημεία του εκάστοτε δικτύου, όπως ποιες δικτυακές πόρτες είναι ανοιχτές, αν υπάρχουν γνωστές ευπάθειες σε εγκατεστημένες εφαρμογές ή στα λειτουργικά συστήματα κ.λπ. Υπάρχουν δεκάδες εργαλεία ethical hacking διαθέσιμα, ορισμένα δωρεάν και άλλα με κάποιο χρηματικό αντίτιμο, τα οποία ενδεχομένως να φανούν χρήσιμα σε όσους από εσάς επιθυμείτε να πραγματοποιήσετε έναν έλεγχο ασφαλείας στο εταιρικό σας δίκτυο, σε μια προσπάθεια να ανακαλύψετε κατά πόσο είναι ευπαθές τόσο σε εξωτερικές, όσο και σε ε- σωτερικές απειλές. Εργαλεία όπως το Wireshark, το Nessus, το Nmap, το Kismet, το Netcat, το John The Ripper, το Snort και πολλά ακόμη, μπορούν να βοηθήσουν στην ανεύρεση ευπαθειών αλλά και τη γενικότερη παρακολούθηση ενός εταιρικού δικτύου για κακόβουλες ενέργειες. Επειδή είναι αδύνατο να προχωρήσουμε σε ανάλυση όλων των παραπάνω εργαλείων και αρκετών ακόμη που δεν έ- χουμε αναφέρει, στην παρούσα δημοσίευση θα σας παρουσιάσουμε ενδεικτικά ένα από τα κορυφαία εργαλεία του είδους, το Nessus. Το Nessus είναι ίσως το πιο ευρέως διαδεδομένο λογισμικό για τον έλεγχο και την αξιολόγηση ευπαθειών σε ένα δίκτυο, με περισσότερα από 5 εκατομμύρια downloads μέχρι σήμερα. Στην τελευταία του έκδοση, το Nessus 5 έχει βελτιώσει την ταχύτητα των ελέγχων, την ευκολία στη χρήση, την αποτελεσματικότητα και την ακρίβεια στην ανάλυση των τμημάτων ενός δικτύου. Επίσης, η εταιρεία που αναπτύσσει το Nessus, η Tenable Network Security, βαθμολογήθηκε ως «Strong Positive» από το Gartner για το 2012. Αυτή είναι η υψηλότερη διάκριση που θα μπορούσε να πάρει και ουσιαστικά αντιπροσωπεύει την ποιότητα των προϊόντων της. Αν λοιπόν θέλετε να ελέγξετε το δίκτυό σας για ευπάθειες, δεν έχετε παρά να κατεβάσετε την τελευταία έκδοση του Nessus από το . (www.tenable.com) Εγκατάσταση και χρήση του Nessus Παρακάτω θα περιγράψουμε την εγκατάσταση και τη χρήση για περιβάλλον Linux. Αν είστε χρήστης των Windows, η εγκατάσταση είναι η γνωστή διαδικασία Next -> Next -> Next-> και η χρήση του είναι όμοια με αυτήν που θα περιγράψουμε παρακάτω για το Linux. Ξεκινώντας, είναι καλό να έχετε κάνει log-in στο Linux ως root για να μην αντιμετωπίσετε οποιοδήποτε πρόβλημα με δικαιώματα. Από το site του προγράμματος κατεβάσαμε την τελευταία έκδοση του Nessus για Ubuntu 11.10 / 12.04 32 bit. Το όνομα του αρχείου είναι «Nessus-5.0.2- ubuntu1110 i386.deb». Για να εγκαταστήσετε το Nessus: Μεταβείτε στο φάκελο όπου έχετε τοποθετήσει το αρχείο εγκατάστασης και δώστε την εντολή: dpkg —installNessus-5.0.2-ubuntu1110_i386.deb. Δημιουργήστε νέο χρήστη: /opt/nessus/sbin/nessus-adduser. Συμπληρώστε παρακάτω τα στοιχεία του χρήστη: Login: (το όνομα του χρήστη). Authentication (πατήστε enter). Login Password: (ο κωδικός του χρήστη). Login Password: (επαναλάβετε τον κωδικό). Do you want this Nessus user to be an “admin” user? Yes (πατήστε enter). (Πατήστε enter ξανά). This user will have “admin” privileges on the Nessus server Is this O.K.? Yes (πατήστε enter). User added. Τώρα θα χρειαστείτε ένα κλειδί ενεργοποίησης. Μεταβείτε στην αντίστοιχη του προγράμματος, επιλέξτε τη χρήση του (η έκδοση Home είναι δωρεάν, η έκδοση Professional είναι επί πληρωμή), αποδεχθείτε τους όρους, εισάγετε μία διεύθυνση mail και θα λάβετε άμεσα ένα mail όπου θα αναφέρεται το κλειδί ενεργοποίησης. Επιστρέψτε στη γραμμή εντολών του Linux και δώστε την παρακάτω εντολή: /opt/nessus/bin/nessus-fetch —register Για να ξεκινήσετε το server του Nessus: /etc/init.d/nessusdstart. Σε περίπτωση που θέλετε αργότερα να σταματήσετε το server του Nessus, δίνετε την εντολή: /etc/init.d/nessusdstart (Μη δώσετε αυτήν την εντολή τώρα). Ανοίξτε ένα browser και δώστε την παρακάτω διεύθυνση για να συνδεθείτε στο web interface του προγράμματος: https://127.0.0.1:8834. security | 41
Page 1: Μάρτιος - Απρίλιος 2
Page 5 and 6: McAfee Security Information and Eve
Page 8 and 9: NEWS Η ESET κυκλοφόρησε
Page 10 and 11: NEWS Οι νέες λύσεις Clo
Page 12 and 13: NEWS Πραγματοποιήθηκ
Page 14 and 15: REFERENCE Του Χρήστου Σ
Page 16 and 17: C OVER ISSUE Του Νότη Ηλι
Page 18 and 19: COVER ISSUE Ασφάλεια στο
Page 20 and 21: COVER ISSUE Ασφάλεια στο
Page 22 and 23: REPORT 3ο Infocom Security Ο κο
Page 28 and 29: I SSUE Της Παναγιώτας
Page 30 and 31: I SSUE Mobile Device Management Η
Page 32 and 33: I SSUE Της Παναγιώτας
Page 34 and 35: I SSUE Αναδυόμενες τε
Page 36 and 37: I SSUE Αναδυόμενες τε
Page 38 and 39: P RACTICAL Σύστημα Εντο
Page 40 and 41: P RACTICAL Σύστημα Εντο
Page 44 and 45: P RACTICAL Ethical Hacking και
Page 46 and 47: P RACTICAL Αλέξανδρος Σ
Page 48 and 49: P RACTICAL Οδηγός διασφ
Page 50: Διμηνιαίο περιοδικ

IT Professional Security - ΤΕΥΧΟΣ 30

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?