شبکه چیست ؟
اردیبهشت ۶, ۱۳۹۸
مفاهیم امنیت شبکه
اردیبهشت ۶, ۱۳۹۸

تست نفوذ پذیری شبکه

تست نفوذ پذیری شبکه

تست نفوذ پذیری شبکه این روزها تمامیه اطلاعات و اسناد و مدارک شرکت ها و ارگانهای دولتی بسیار مهم به صورت سیستمی شده و بر روی شبکه قرار دارد.  حتی اگر  برای یک لحظه شبکه مورد نفوذ مورد حمله هکرها قرار گیرد.

تمامیه اسناد و مدارک محرمانه بسیار مهم مورد نفوذ قرا می گیرد و دردسر ساز می شود.بنابراین نیازمند این هستیم که هر چند وقت یکبار میزان نفوذ پذیری شبکه و هر آنچه که مربوط است از قبیل تمام سیستم سرویس ها که بر روی آن نصب شده است. و همچنین نرم افزارها   برای مشکلات امنینی حتما بررسی شود که دچار مشکل نشویم.

تست نفوذ پذیری شبکه در واقع یکی از فرآیندهای سیستمی و برنامه ریزی شده به شمار می رود که اسیب پذیرهای  و همچنین شبکه ها و منابع و برنامه های متصل شده از طریق یک شبیه ساز نیز چک می شود.در واقع تست نفوذپذیری شبکه می تواند به روش استفاده کرده از منابع داخلی مثل سیستم های امنیتی و یا منایع خارجی کنرل شود.

بنابراین از تست برای پیدا کردن مشکلات و همچنین میزان سنجش امنیت های سرور و همچنمین شبکه های متصله استفاده می شوند. در هر سازمان و یا ارگانی  هر سیستمی که برای عموم محیا شده باشد. قبل از شروع به کار باید بر روی آن تست نفوذپذیری شبکه نیز انجام شود.

کاربرد تست نفوذ پذیری شبکه :

به طور مثال در تمامی وب سایت ها  فایل ها و سرورها و همچنین قسمت خدمت رسانی الکترونیکی و شبکه های بانکداری و همه نوع سیستم های که به نوعی از طریق شبکه ها خدمات ارئه می کنند. باید مورد تست نفوذ پذیری شبکه قرار گیرند.اما در این میان شاید سوالی درذهن مخاطبان ایجاد شود که آیا تست نفوذپذیری خطراتی می تواند به همراه داشته باشد؟

باید در این مورد گفت که تست نفوذ بسیار کار آمد است اما در برخی موارد می تواند بسیار خطرناک باشد زیرا دادن اطلاعات به گروهی غیر قابل اعتماد برای تست می تواند همان گروه  تست گننده عامل نفوذ باشند بنابراین برای انجام تست نفوذ و کاهش مشکلات  می توانیم از تست جعبه سیاه یا تست خاکستری استفاده کنیم.

انواع تست های نفوذ تست های جعبه سیاه- تست جعبه خاکستری و همچنین تست شفافدر تست جعبه سیاه هیچ گونه اطلاعات قبلی  در رابطه با سیستم وجود ندارد. در تست جعبه خاکستری . تست کننده فقط به برخی اطلاعت دسترسی دارد و اطلاعات تکمیلی را ندارد. در صورتی که بخواهیم امنیت بالایی نیز داشته باشیم یاد از تست شفاف استفاده کنیم.

آزمون نفوذپذیری شبکه  :

آزمون نفوذپذیری شبکه یا آزمون نفوذ (به انگلیسی: Penetration test) روشی برای تخمین میزان امنیت یک کامپیوتر (معمولاً سرور) یا یک شبکه است که با شبیه‌سازی حملات یک حمله‌کننده (هکر) صورت می‌گیرد. در این روش تمام سیستم و نرم‌افزارها و سرویس‌های نصب شده روی آن برای یافتن مشکلات امنیتی آزمایش می‌شوند و سپس اقدام به رفع مشکلات موجود می‌شود.

تست نفوذ به راه‌های مختلفی صورت می‌گیرد که عمده‌ترین تفاوت آنها، تفاوت در میزان اطلاعات تست‌کننده دربارهٔ سیستم موردنظر است. تست به صورت آزمون جعبه سیاه روشی است که در آن تست‌کننده بدون داشتن هیچگونه اطلاعات قبلی در مورد سیستم انجام می‌دهد و تست جعبه سفید یا تست شفاف (transparent box testing) روشی است که در آن تست‌کننده مشخصات کامل سیستم را در اختیار دارد. در این میان روش‌های دیگری موجوداند که در آن تنها بخشی از اطلاعات در اختیار تست‌کننده قرار می‌گیرد که به جعبه خاکستری (Gray-box) معروف‌است.
با انجام تست شفاف، می‌توان سیستم را به‌طور دقیق‌تر و برای موارد بیشتر تست کرد، در صورتیکه با انجام تست جعبه سیاه، ممکن است تمامی حفره‌های موجود مورد بررسی قرار نگیرند، بنابراین در مواقعی که امنیت نقش کلیدی ایفا می‌کند، لازم است که تست شفاف صورت گیرد.

کیفیت تست نفوذ پذیری :

کیفیت تست نفوذ پذیری صورت گرفته ارتباط مستقیمی با میزان دانش امنیتی و کارکردی تست‌کننده از نرم‌افزارها و سرویس‌های موجود روی سیستم دارد و معمولاً تست نفوذ توسط یک گروه صورت می‌گیرد چراکه هیچ‌گاه یک شخص نمی‌تواند به تنهایی اطلاعات کامل تمامی برنامه‌ها را داشته باشد.

بنابراین در تست انجام شده توسط گروه، هریک از اعضای گروه مسوول تست بخشی از برنامه‌ها است و این هدف رشد شرکت‌ها و گروه‌های امنیتی است که بتوانند با تعلیم هریک از افراد خود در یک بخش خاص، تمام جزییات و نکات ریز امنیتی هر برنامه را شناسایی و رفع کنند.

هر سیستمی که قابل استفاده توسط عموم باشد، لازم است که قبل از شروع فعالیت، تست نفوذپذیری روی آن صورت گرفته باشد که بعداً دچار مشکل نشود. وب‌سایت‌ها، شبکه‌های بانکی، فایل‌سرورها، ارایه‌دهندگان پست‌های الکترونیک و سایر سیستم‌هایی که از طریق شبکه خدمات ارائه می‌دهند نمونه‌ای از سیستم‌هایی هستند که باید روی آن‌ها تست نفوذپذیری صورت گرفته شود.

هرچند تست نفوذپذیری ممکن است بسیار مفید باشد، اما دارای خطراتی نیز هست، دادن اطلاعات کامل به گروهی غیرقابل اطمینان برای انجام تست شفاف می‌تواند بسیار خطرناک باشد، چراکه همان گروه می‌تواند خود عامل نفوذ به سیستم باشد. در برخی موارد، ایجاد فشار زیاد روی سیستم به دلیل تست‌های فراوان خطر دیگری است که می‌تواند باعث مشکلات سخت‌افزاری، نرم‌افزاری و حتی کند شدن شبکه و سرور مورد نظر شود.

برای جلوگیری از به‌وجود آمدن مشکلات گفته شده، توصیه می‌شود که غیر از موارد خاص، تست شفاف صورت نگیرد و تنها تست جعبه سیاه انجام شود و اگر لازم است تا تست شفاف صورت گیرد، این کار توسط شرکتی رسمی و قابل اطمینان و با گرفتن ضمانت صورت گیرد.

تست نفوذ پذیری شبکه

تست نفوذ پذیری شبکه

نرم‌افزارهای  تست نفوذ پذیری شبکه :

بسیاری از نرم‌افزارها موجوداند که می‌توانند کار تست نفوذ را به صورت خودکار انجام دهند، استفاده از این نرم‌افزارها به‌طور کلی توصیه نمی‌شود زیرا اولاً نرم‌افزار موردنظر می‌تواند خود ابزاری مخرب باشد که اطلاعات را در اختیار طراحان آن قرار دهد و ثانیاً نرم‌افزار هوش انسان را ندارد و نمی‌تواند تمامی حفره‌های موجود را کنترل کند و تنها قسمت محدودی از حفره‌های موجود در برنامه‌ها را کنترل می‌کند.

از نرم‌افزارها می‌توان در مواقعی استفاده کرد که امنیت نقش مهمی ندارد یا مواقعی که تست توسط گروهی صورت گرفته و فقط برای کنترل بیشتر می‌خواهیم تست انجام دهیم.

پروژه OWASP یا Open Web Application Security Project دارای مطالبی برای کنترل امنیتی وب‌سایت‌ها بوده و برای بسیاری از نکات امنیتی مرجعی مناسب به‌حساب می‌آید. رعایت نکاتی امنیتی گفته شده در این پروژه برای نوشتن هر وب‌سایتی به هر زبان برنامه‌نویسی توصیه می‌شود. در اجرای موفق یک پروژه تست نفوذ، کلیدی‌ترین موضوع میزان دانش و توانایی شما در مواجهه با انواع مختلفی از سرویس‌ها، پلت فرم‌ها و پروتکل‌های شبکه وب است؛ بنابراین همواره بایستی در حال مطالعه و کسب علم و دانش در این زمینه باشید.

آیا تست نفوذ خطراتی به همراه دارد؟

اگرچه تست نفوذ بسیار کارآمد است اما برخی مواقع خطراتی نیز به همراه دارد. چرا که دادن اطلاعات به گروهی غیر قابل اطمینان برای انجام تست، خود می تواند خطراتی به همراه داشته باشد. چرا که همان گروه تست کننده خود می تواند عامل نفوذ باشد. همچنین ایجاد فشار زیاد روی سیستم برای انجام تست نفوذ، می تواند باعث مشکلات و حتی کند شدن سرور شود. بنابراین برای کاهش این فشارها، می توان از تست جعبه سیاه یا تست جعبه خاکستری استفاده کرد.

انواع تست نفوذ

تست شفاف

تست جعبه سیاه

تست جعبه خاکستری

در تست جعبه سیاه، تست کننده هیچ گونه اطلاعات قبلی در مورد سیستم ندارد و به تست می پردازد. اما در تست شفاف، تست کننده مشخصات کامل و اطلاعات جامعی از سیستم دارد و بر اساس آن حمله شبیه سازی شده را انجام می دهد و در تست جعبه خاکستری تست کننده تنها به برخی اطلاعات دسترسی دارد و اطلاعات جامعی ندارد.

بر طبق حساسیت سیستم ها و مراتب امنیت آنها، باید تست صورت گیرد . در صورتی که امنیت بسیار بالایی را می خواهیم داشته باشیم، باید تست شفاف انجام دهیم و اگر سیستم و امنیت آن از اهمیت کمتری برخوردار است، تست جعبه خاکستری و جعبه سیاه کفایت می کند. در واقع تست نفوذ باید به صورت برنامه ریزی شده و با هماهنگی قبلی با صاحب آن سیستم انجام شود و نمی تواند یک اقدام هماهنگ نشده باشد چرا که ممکن است حین انجام تست، برخی تجهیزات یا سیستم شبکه از کار بیفتد. بنابراین کارمندان می بایست از قبل در جریان باشند.

لازم به ذکر است که استفاده از نرم افزار های تست نفوذ کار عاقلانه ای به نظر نمی رسد چرا که خود می تواند عامل نفوذ باشد، بلکه استفاده از یک گروه امنیتی مطمئن که اطلاعات جامعی از این تست دارند و همچنین مورد اطمینان هستند، توصیه می شود.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

11 − 5 =