Existem vários tipos de auditoria,
é tudo dependerá dos objetivos e as metas. Uma organização usa
auditoria de TI para controlar o fluxo de informações, para encontrar os
pontos fracos da rede, políticas, procedimentos de backup, patch e para
assegurar a proteção dos utilizadores e de informação ao cliente.
Geralmente auditoria é o meio de encontrar o de hardware e
de software que estão associados com a rede, como a auditoria pode ser usada
para controlar :
- Divisória
- Placas de som, vídeos, placas de rede e outros
- Componente do sistema
- Software instalado (incluindo OS)
- Configuração de segurança
- Um rápido exemplo de um resultado de auditoria de TI pode ser visto nesta imagem.
Segurança de Redes - Auditoria
Como a segurança é uma parte importante de TI para auditar como um auditor pode realizar o teste de segurança de rede, coleta de informações é o primeiro passo dele, reunir o máximo de informação sobre a rede.
- O que realmente é uma rede?
- Qual é a topologia da rede?
- Como muitos dispositivos estão associados com a rede?
- Quantos hosts estão ativos?
- Quais são as carências da rede?
- Qual sistema operacional é usado na maioria do parque?
- É trabalho de gestão de patch?
- Como quebrar a segurança da rede?
- Como explorar um host ? Para obter o acesso na rede.
Então, essas são as principais questões de auditoria de
segurança de rede e um suposto auditor para dar a resposta detalhes destas
questões.
As ferramentas são o componente essenciais de qualquer
teste, incluindo auditoria de segurança de rede, há tanto de código aberto e
ferramentas comerciais estão disponíveis para esta finalidade. Nmap,
Openaudit e nessus são as melhores ferramentas para este fim.
Rede mapper (Nmap) a melhor ferramenta para múltiplas
finalidades, basicamente é um scanner de rede e um utilitário de scanner de
portas, mas neste tutorial, vamos usá-lo para a segurança da rede de
auditoria. Zenmap é uma interface gráfica de nmap, enquanto nmap é uma
ferramenta de linha de comando.
Vamos começar com a primeira fase, o que é uma rede? A
topologia de rede, número de hosts ativos as portas abertas, serviços e outros
pode ser encontrar usando o nmap.
Na caixa de destino digite o IP do alvo, mas para o caso de
auditoria Eu quero escanear toda a rede é por isso que eu usei classe C de
sub-rede IP . varredura Intense lhe dá a visão completa da rede, se
você quiser o nmap para escanear uma porta específica de digitalização
intensa, todas as portas TCP e que definem o intervalo das portas.
Ao olhar o resultado você pode observar os hosts ativos e as
portas abertas até podemos encontrar a visualização na topologia na imagem
abaixo.
A imagem importante pois dá as informações sobre
qualquer máquina, incluindo o sistema operacional, endereço IP, endereço MAC,
portas abertas, classe sistema operacional, o tempo, o tempo de inicialização
passado e muitos mais.
Assim, após esta análise rápida de auditoria tem tantas
informações sobre uma rede e no meu ponto de vista mais informações mais chance
de sucesso. Agora o próximo passo seria encontrar os pontos fracos
(vulnerabilidades) que causam uma rede de exploração.
Avaliação da Vulnerabilidade
Este é outro passo importante para a rede de auditoria de
segurança, avaliação de vulnerabilidades é um processo para encontrar a
vulnerabilidade em um sistema e uma rede. Existem diferentes tipos de
vulnerabilidade pode ser encontrar em um sistema como a vulnerabilidade de alto
risco e vulnerabilidade de baixo risco. Normalmente, as vulnerabilidades
de alto risco como:
- Buffer overflow
- Default password
- Known back-doors
- Poor/mis configuration
- Out dated software’s
Se formos ver como uma perspectiva hacker / invasor do que
essas vulnerabilidades podem causar numa rede vamos perceber a importância de
cada uma delas ,um auditor de segurança de rede é responsável por encontrar as
vulnerabilidades e sugerir algo ( (technical stuffs) para
corrigir as mesmas.
Existem scanners de vulnerabilidades diferentes estão
disponíveis em software livre e plataforma comercial, mas certifique-se há
algum scanner de vulnerabilidade para a aplicação web, mas neste artigo nosso
foco é o scanner de vulnerabilidade em redes. Nessus e OpenVAS são scanner
de vulnerabilidades e gestão, são as ferramentas adequadas para esse fim,
antes de ir para o aspecto prático, eu quero apresentar resultado falso
positivo / resposta.
Falso positivo O termo "falso positivo"
é utilizado para designar uma situação em que um firewall ou IDS aponta uma
atividade como sendo um ataque, quando na verdade esta atividade não é um
ataque . Tenha em mente sobre o resultado falso positivo antes de
decidir um software para avaliação de vulnerabilidades.
Neste artigo iremos discutir Nessus e vamos usar o Nessus
como um scanner de vulnerabilidades e de avaliação, o Nessus é uma ferramenta
que pode ser usado para fins múltiplos de vulnerabilidades da rede de varredura
para varredura de vulnerabilidades na web, ele pode ser usado para:
Vulnerabilidade
Gerenciamento de vulnerabilidades
Auditoria de configuração
( Log management )
A descoberta de rede
Scan passivo com Nessus :
- SSL certificate
- Host file detection
- Host services detection
- Open port detection
- Vulnerability detection (Ele sugere que a solução também)
- Internal IP address detection
- VPN detection
- Firewall, IDS and IPS detection
- Proxy detection
- Real time DNS traffic
- Real time web traffic
- More
Para efeitos de detecção a verdadeira arma de Nessus é o
pacote SYN porque cada sistema operacional usa flag SYN de uma forma
única, como em uma teoria básica ataque DOS os pacotes SYN podem ser
usados para SYN flooding , devemos ter cuidado com os
aspectos de avaliação de vulnerabilidade. O teste não deve ser considerado
como um ataque de negação de serviço para uma rede.
Monitoramento de vulnerabilidade que é usado em Nessus
scanner de vulnerabilidade são CVE ( (Common vulnerability and
exposure) e CPE, ao lado de auditoria e de acolhimento analisar,
portas, serviços, o nessus pode ser usado para monitorar as atividades em tempo
real, tais como:
- DNS (DNS análise de pesquisa)
- Facebook (Entrar / sair, a análise de identificação de usuário)
- SMTP (fonte e dreno de um e-mail)
- SMB
- Twitter (Entrar / sair e análise de outra atividade)
- Banco de dados (SQL, Oracle e análise de outro banco de dados)
- Mais ..
O monitoramento em tempo real reduzir a chance de a
exploração ativa assim como um aspecto econômico é um processo bom e altamente
recomendável, porque a exploração ativa significa uma operação ou teste em toda
a rede de camada física para a camada de aplicação e é preciso tempo, dinheiro,
esforço humano (mais engenheiro necessário) eo processo pode retardar a rede ou
se o teste não for executo com cuidado pode gerar negação de serviço.
Como já discutimos mais do lado teórico, mas antes de
ir para o exemplo do teste que eu quero que você saiba sobre um lado importante
da imagem, vamos supor que um auditor faça um pentest nunca rede, vai conduzir
um teste em uma grande rede corporativa ter em mente que este tipo de rede
geralmente tem um servidor de aplicação web ou podem ser algumas das aplicações
são habilitadas para web. Portanto, neste caso monitoria de segurança do
servidor web também é uma parte necessária e as aplicações web é a vítima mais
comum. É por isso que eu escolho nessus para avaliação de vulnerabilidade,
pois fornece uma plataforma eficaz para realizar um teste em aplicação web, bem
como rede.
Nessus foi concebido para verificar todos e cada porta de
uma aplicação web e outros serviços se é uma porta incomum, a análise
aprofundada de aplicação web fornece:
- Análise de HTTP e HTTPS serviços
- Analisar todo o Web site hospedado em um servidor
- Analisar certificado SSL, validade do certificado SSL e mais
- Analise de conteúdo para JavaScript inseguro que são conduzidos para o ataque de injeção de código
A segunda parte deste artigo será publicada em breve.
Nenhum comentário:
Postar um comentário