Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Общий план комплексного аудита информационной безопасности

G
grishkovtsov_ge

Audit, pentest, план, программа

1 of 3
Download to read offline
Общий план комплексного аудита информационной безопасности http://grishkovtsov.blogspot.com Автор: Grishkovtsov GE. ICQ: 8 7 2 6 8 7 Email: grishkovtsov [+] gmail [+] com 1 Сокращения, термины и определения 1.1 В настоящем документе применяются следующие сокращения: ОС – Операционная система AD – Active Directory ПО – Программное обеспечение IP - Internet Protocol ПК – Персональный компьютер ЛВС – Локально-вычислительная сеть АСО – Активное сетевое оборудование НСД – Несанкционированный доступ ARP – Address Resolution Protocol TCP - Transmission Control Protocol UDP - User Datagram Protocol SYN - Synchronize sequence numbers ACK - Acknowledgement field is significant DNS - Domain Name System LSR - Loose Source Routing ISN - Initial Sequence Number SNMP - Simple Network Management Protocol ICMP - Internet Control Message Protocol 1.2 В настоящем документе применяются следующие термины и их определения: Периметр – Определенная зона в сетях передачи данных. Пример: диапазон сетевых или аппаратных адресов, отмеченный физический сегмент сети. Сетевой узел – Оборудование входящее в информационно-вычислительную сеть. Пример: сети в основу которых положен стек протоколов TCP/IP. Внешняя среда – Область вне программного информационно-вычислительного пространства. Пример: внешние порты подключения, внешние устройства, оплетка проводов. Маршрутизатор - сетевое устройство или ПК, на основании информации о топологии сети и определённых правил принимающее решения о пересылке пакетов сетевого уровня между различными сегментами сети. Инфраструктура – совокупность информационно-вычислительного оборудования, средств организации и передачи данных, программных сред. Пример: ЛВС банка, выполняющая различные операции денежных переводов. Политика безопасности – совокупность правил, процедур, практических приемов, которые регулируют управление, защиту и распределение информации. Подсистема инфраструктуры – программно-аппаратная единица. Пример: ОС, СУБД MySQL, POE Switch. Аутентификационные данные - Ключевые значения для подтверждения подлинности в программно-аппаратной подсистеме. Пример: логин, пароль.
2 Экспертный аудит нормативных документов и конфигурации программно- аппаратных средств имеющих отношение к информационной безопасности. 2.1 Анализ нормативной документации заказчика, касающейся вопросов информационной безопасности; Физический доступ к периметру 2.2 Анализ процессов обмена данными во внешней среде (usb, com, lpt, cd/dvd, устройства цифрового копирования); Внутри периметра на уровне сети 2.3 Анализ информационных потоков между сетевыми узлами в пределах периметра; 2.4 Анализ сеансов связи периметра с другими сетями (internet, ЛВС); Внутри периметра на уровень приложений 2.5 Анализ средств и методов обеспечения должного уровня работоспособности инфраструктуры заказчика в случаи возникновения нештатных ситуаций: - нарушения работы программной среды в результате эксплуатации вредоносного ПО; - в результате НСД; - сбой ПО приводящий в неработоспособность подсистему инфраструктуры. 2.6 Анализ принятых политик по менеджменту аутентификационных данных; 2.7 Анализ принятых политик по разграничению прав доступа пользователей в программно-аппаратных подсистемах; 2.8 Анализ средств и методов контроля запуска исполняемых файлов и интепретируемых сценариев на рабочих станциях, серверах, активном сетевом оборудовании; 2.9 Анализ конфигурации средств по антивирусной защите; 2.10 Анализ конфигурации средств обнаружения фактов попытки вторжения; 2.11 Анализ принятых политик безопасности на средствах фильтрации сетевого трафика; 2.12 Проверка факта регистрации сетевой активности на критических узлах периметра; 2.13 Проверка факта регистрации активности приложений на рабочих станциях и серверах; 2.14 Проверка факта и организации защиты регистрационных журналов; Уровень среды периметра 2.15 Анализ средств и методов обеспечения должного уровня работоспособности инфраструктуры заказчика в случаи возникновения нештатных ситуаций: - обесточивания; - выход из строя оборудования. 2.16 Анализ средств и методов физической защиты периметра; Комбинированный уровень периметра 2.17 Анализ средств и методов резервного копирования информации.
3 Инструментальный аудит информационной безопасности. 3.1 Сбор информации: - определение ОС; - определение сетевых сервисов; - определение АСО; - определение ‘точек’ аутентификации; - определение используемых протоколов периметра; - и т.д.. 3.1.1 Пассивный сбор информации: - через глобальные сети; - с предоставленного места заказчиком внутри периметра. 3.1.2 Активный сбор данных: - через глобальные сети; - с предоставленного места заказчиком внутри периметра. 3.2 Аудит маршрутизации периметра 3.2.1 Анализ ответов всех сетевых узлов от широковещательных запросов; 3.2.2 Анализ ответов всех сетевых узлов от ICMP запросов с типом 0-255 и кодом 0-2; 3.2.3 Анализ ответов от запросов на UDP порты с исходными портами: 0, 53, 63, 139, 161; 3.2.4 Анализ ответов от запросов на UDP порты с некорректной контрольной суммой; 3.2.5 Анализ ответов от TCP/SYN запросов на порты 0-65535; 3.2.6 Анализ ответов от TCP/ACK запросов на порты 0-65535 с исходными портами 80, 2100-3150, 10001-10050, 33500-33550, 50 случайных после 35000 порта; 3.2.7 Анализ ответов от TCP/SYN фрагментированных запросов на порты 0, 21-23, 25, 53, 80, 443, 3128, 8080; 3.2.8 Анализ ответов от TCP запросов с разными комбинациями флагов для портов 0, 21-23, 25, 53, 80, 443, 3128, 8080; 3.2.9 Попытки получить доступ из отведенного периметра в глобальные сети; 3.3 Проведение атак 3.3.1 Spoofing атаки на протоколы: arp, dns, ip, udp, icmp; 3.3.2 Определение факта предсказуемости ISN TCP для заданных целей; 3.3.3 Проверка использования опции lsr в IP на маршрутизаторах; 3.3.4 Попытки эксплуатации найденных уязвимостей среди определенных сетевых сервисов; 3.3.5 Подбор паролей по словарю среди найденных ‘точек’ аунтентификации; 3.3.6 Демонстрация перехвата и модификации данных в сети; 3.3.7 Повышение привилегий в AD; 3.3.8 Проведение атак на SNMP протокол. Примечание: В ходе проведения комплексного аудита, аудитор по своему усмотрению и согласию сторон в зависимости от полученной информации может изменить или дополнить программу с последующим изменением в отчете.

More Related Content

Общий план комплексного аудита информационной безопасности

  • 1. Общий план комплексного аудита информационной безопасности http://grishkovtsov.blogspot.com Автор: Grishkovtsov GE. ICQ: 8 7 2 6 8 7 Email: grishkovtsov [+] gmail [+] com 1 Сокращения, термины и определения 1.1 В настоящем документе применяются следующие сокращения: ОС – Операционная система AD – Active Directory ПО – Программное обеспечение IP - Internet Protocol ПК – Персональный компьютер ЛВС – Локально-вычислительная сеть АСО – Активное сетевое оборудование НСД – Несанкционированный доступ ARP – Address Resolution Protocol TCP - Transmission Control Protocol UDP - User Datagram Protocol SYN - Synchronize sequence numbers ACK - Acknowledgement field is significant DNS - Domain Name System LSR - Loose Source Routing ISN - Initial Sequence Number SNMP - Simple Network Management Protocol ICMP - Internet Control Message Protocol 1.2 В настоящем документе применяются следующие термины и их определения: Периметр – Определенная зона в сетях передачи данных. Пример: диапазон сетевых или аппаратных адресов, отмеченный физический сегмент сети. Сетевой узел – Оборудование входящее в информационно-вычислительную сеть. Пример: сети в основу которых положен стек протоколов TCP/IP. Внешняя среда – Область вне программного информационно-вычислительного пространства. Пример: внешние порты подключения, внешние устройства, оплетка проводов. Маршрутизатор - сетевое устройство или ПК, на основании информации о топологии сети и определённых правил принимающее решения о пересылке пакетов сетевого уровня между различными сегментами сети. Инфраструктура – совокупность информационно-вычислительного оборудования, средств организации и передачи данных, программных сред. Пример: ЛВС банка, выполняющая различные операции денежных переводов. Политика безопасности – совокупность правил, процедур, практических приемов, которые регулируют управление, защиту и распределение информации. Подсистема инфраструктуры – программно-аппаратная единица. Пример: ОС, СУБД MySQL, POE Switch. Аутентификационные данные - Ключевые значения для подтверждения подлинности в программно-аппаратной подсистеме. Пример: логин, пароль.
  • 2. 2 Экспертный аудит нормативных документов и конфигурации программно- аппаратных средств имеющих отношение к информационной безопасности. 2.1 Анализ нормативной документации заказчика, касающейся вопросов информационной безопасности; Физический доступ к периметру 2.2 Анализ процессов обмена данными во внешней среде (usb, com, lpt, cd/dvd, устройства цифрового копирования); Внутри периметра на уровне сети 2.3 Анализ информационных потоков между сетевыми узлами в пределах периметра; 2.4 Анализ сеансов связи периметра с другими сетями (internet, ЛВС); Внутри периметра на уровень приложений 2.5 Анализ средств и методов обеспечения должного уровня работоспособности инфраструктуры заказчика в случаи возникновения нештатных ситуаций: - нарушения работы программной среды в результате эксплуатации вредоносного ПО; - в результате НСД; - сбой ПО приводящий в неработоспособность подсистему инфраструктуры. 2.6 Анализ принятых политик по менеджменту аутентификационных данных; 2.7 Анализ принятых политик по разграничению прав доступа пользователей в программно-аппаратных подсистемах; 2.8 Анализ средств и методов контроля запуска исполняемых файлов и интепретируемых сценариев на рабочих станциях, серверах, активном сетевом оборудовании; 2.9 Анализ конфигурации средств по антивирусной защите; 2.10 Анализ конфигурации средств обнаружения фактов попытки вторжения; 2.11 Анализ принятых политик безопасности на средствах фильтрации сетевого трафика; 2.12 Проверка факта регистрации сетевой активности на критических узлах периметра; 2.13 Проверка факта регистрации активности приложений на рабочих станциях и серверах; 2.14 Проверка факта и организации защиты регистрационных журналов; Уровень среды периметра 2.15 Анализ средств и методов обеспечения должного уровня работоспособности инфраструктуры заказчика в случаи возникновения нештатных ситуаций: - обесточивания; - выход из строя оборудования. 2.16 Анализ средств и методов физической защиты периметра; Комбинированный уровень периметра 2.17 Анализ средств и методов резервного копирования информации.
  • 3. 3 Инструментальный аудит информационной безопасности. 3.1 Сбор информации: - определение ОС; - определение сетевых сервисов; - определение АСО; - определение ‘точек’ аутентификации; - определение используемых протоколов периметра; - и т.д.. 3.1.1 Пассивный сбор информации: - через глобальные сети; - с предоставленного места заказчиком внутри периметра. 3.1.2 Активный сбор данных: - через глобальные сети; - с предоставленного места заказчиком внутри периметра. 3.2 Аудит маршрутизации периметра 3.2.1 Анализ ответов всех сетевых узлов от широковещательных запросов; 3.2.2 Анализ ответов всех сетевых узлов от ICMP запросов с типом 0-255 и кодом 0-2; 3.2.3 Анализ ответов от запросов на UDP порты с исходными портами: 0, 53, 63, 139, 161; 3.2.4 Анализ ответов от запросов на UDP порты с некорректной контрольной суммой; 3.2.5 Анализ ответов от TCP/SYN запросов на порты 0-65535; 3.2.6 Анализ ответов от TCP/ACK запросов на порты 0-65535 с исходными портами 80, 2100-3150, 10001-10050, 33500-33550, 50 случайных после 35000 порта; 3.2.7 Анализ ответов от TCP/SYN фрагментированных запросов на порты 0, 21-23, 25, 53, 80, 443, 3128, 8080; 3.2.8 Анализ ответов от TCP запросов с разными комбинациями флагов для портов 0, 21-23, 25, 53, 80, 443, 3128, 8080; 3.2.9 Попытки получить доступ из отведенного периметра в глобальные сети; 3.3 Проведение атак 3.3.1 Spoofing атаки на протоколы: arp, dns, ip, udp, icmp; 3.3.2 Определение факта предсказуемости ISN TCP для заданных целей; 3.3.3 Проверка использования опции lsr в IP на маршрутизаторах; 3.3.4 Попытки эксплуатации найденных уязвимостей среди определенных сетевых сервисов; 3.3.5 Подбор паролей по словарю среди найденных ‘точек’ аунтентификации; 3.3.6 Демонстрация перехвата и модификации данных в сети; 3.3.7 Повышение привилегий в AD; 3.3.8 Проведение атак на SNMP протокол. Примечание: В ходе проведения комплексного аудита, аудитор по своему усмотрению и согласию сторон в зависимости от полученной информации может изменить или дополнить программу с последующим изменением в отчете.