Общий план комплексного аудита информационной безопасности
1. Общий план комплексного аудита информационной безопасности
http://grishkovtsov.blogspot.com
Автор: Grishkovtsov GE.
ICQ: 8 7 2 6 8 7
Email: grishkovtsov [+] gmail [+] com
1 Сокращения, термины и определения
1.1 В настоящем документе применяются следующие сокращения:
ОС – Операционная система
AD – Active Directory
ПО – Программное обеспечение
IP - Internet Protocol
ПК – Персональный компьютер
ЛВС – Локально-вычислительная сеть
АСО – Активное сетевое оборудование
НСД – Несанкционированный доступ
ARP – Address Resolution Protocol
TCP - Transmission Control Protocol
UDP - User Datagram Protocol
SYN - Synchronize sequence numbers
ACK - Acknowledgement field is significant
DNS - Domain Name System
LSR - Loose Source Routing
ISN - Initial Sequence Number
SNMP - Simple Network Management Protocol
ICMP - Internet Control Message Protocol
1.2 В настоящем документе применяются следующие термины и их определения:
Периметр – Определенная зона в сетях передачи данных. Пример: диапазон сетевых
или аппаратных адресов, отмеченный физический сегмент сети.
Сетевой узел – Оборудование входящее в информационно-вычислительную сеть.
Пример: сети в основу которых положен стек протоколов TCP/IP.
Внешняя среда – Область вне программного информационно-вычислительного
пространства. Пример: внешние порты подключения, внешние устройства, оплетка
проводов.
Маршрутизатор - сетевое устройство или ПК, на основании информации о
топологии сети и определённых правил принимающее решения о пересылке пакетов
сетевого уровня между различными сегментами сети.
Инфраструктура – совокупность информационно-вычислительного оборудования,
средств организации и передачи данных, программных сред. Пример: ЛВС банка,
выполняющая различные операции денежных переводов.
Политика безопасности – совокупность правил, процедур, практических приемов,
которые регулируют управление, защиту и распределение информации.
Подсистема инфраструктуры – программно-аппаратная единица. Пример: ОС,
СУБД MySQL, POE Switch.
Аутентификационные данные - Ключевые значения для подтверждения
подлинности в программно-аппаратной подсистеме. Пример: логин, пароль.
2. 2 Экспертный аудит нормативных документов и конфигурации программно-
аппаратных средств имеющих отношение к информационной безопасности.
2.1 Анализ нормативной документации заказчика, касающейся вопросов
информационной безопасности;
Физический доступ к периметру
2.2 Анализ процессов обмена данными во внешней среде (usb, com, lpt, cd/dvd,
устройства цифрового копирования);
Внутри периметра на уровне сети
2.3 Анализ информационных потоков между сетевыми узлами в пределах периметра;
2.4 Анализ сеансов связи периметра с другими сетями (internet, ЛВС);
Внутри периметра на уровень приложений
2.5 Анализ средств и методов обеспечения должного уровня работоспособности
инфраструктуры заказчика в случаи возникновения нештатных ситуаций:
- нарушения работы программной среды в результате эксплуатации
вредоносного ПО;
- в результате НСД;
- сбой ПО приводящий в неработоспособность подсистему инфраструктуры.
2.6 Анализ принятых политик по менеджменту аутентификационных данных;
2.7 Анализ принятых политик по разграничению прав доступа пользователей в
программно-аппаратных подсистемах;
2.8 Анализ средств и методов контроля запуска исполняемых файлов и
интепретируемых сценариев на рабочих станциях, серверах, активном сетевом
оборудовании;
2.9 Анализ конфигурации средств по антивирусной защите;
2.10 Анализ конфигурации средств обнаружения фактов попытки вторжения;
2.11 Анализ принятых политик безопасности на средствах фильтрации сетевого
трафика;
2.12 Проверка факта регистрации сетевой активности на критических узлах
периметра;
2.13 Проверка факта регистрации активности приложений на рабочих станциях и
серверах;
2.14 Проверка факта и организации защиты регистрационных журналов;
Уровень среды периметра
2.15 Анализ средств и методов обеспечения должного уровня работоспособности
инфраструктуры заказчика в случаи возникновения нештатных ситуаций:
- обесточивания;
- выход из строя оборудования.
2.16 Анализ средств и методов физической защиты периметра;
Комбинированный уровень периметра
2.17 Анализ средств и методов резервного копирования информации.
3. 3 Инструментальный аудит информационной безопасности.
3.1 Сбор информации:
- определение ОС;
- определение сетевых сервисов;
- определение АСО;
- определение ‘точек’ аутентификации;
- определение используемых протоколов периметра;
- и т.д..
3.1.1 Пассивный сбор информации:
- через глобальные сети;
- с предоставленного места заказчиком внутри периметра.
3.1.2 Активный сбор данных:
- через глобальные сети;
- с предоставленного места заказчиком внутри периметра.
3.2 Аудит маршрутизации периметра
3.2.1 Анализ ответов всех сетевых узлов от широковещательных запросов;
3.2.2 Анализ ответов всех сетевых узлов от ICMP запросов с типом 0-255 и кодом 0-2;
3.2.3 Анализ ответов от запросов на UDP порты с исходными портами: 0, 53, 63, 139,
161;
3.2.4 Анализ ответов от запросов на UDP порты с некорректной контрольной суммой;
3.2.5 Анализ ответов от TCP/SYN запросов на порты 0-65535;
3.2.6 Анализ ответов от TCP/ACK запросов на порты 0-65535 с исходными портами
80, 2100-3150, 10001-10050, 33500-33550, 50 случайных после 35000 порта;
3.2.7 Анализ ответов от TCP/SYN фрагментированных запросов на порты 0, 21-23, 25,
53, 80, 443, 3128, 8080;
3.2.8 Анализ ответов от TCP запросов с разными комбинациями флагов для портов 0,
21-23, 25, 53, 80, 443, 3128, 8080;
3.2.9 Попытки получить доступ из отведенного периметра в глобальные сети;
3.3 Проведение атак
3.3.1 Spoofing атаки на протоколы: arp, dns, ip, udp, icmp;
3.3.2 Определение факта предсказуемости ISN TCP для заданных целей;
3.3.3 Проверка использования опции lsr в IP на маршрутизаторах;
3.3.4 Попытки эксплуатации найденных уязвимостей среди определенных сетевых
сервисов;
3.3.5 Подбор паролей по словарю среди найденных ‘точек’ аунтентификации;
3.3.6 Демонстрация перехвата и модификации данных в сети;
3.3.7 Повышение привилегий в AD;
3.3.8 Проведение атак на SNMP протокол.
Примечание: В ходе проведения комплексного аудита, аудитор по своему
усмотрению и согласию сторон в зависимости от полученной информации может
изменить или дополнить программу с последующим изменением в отчете.