تست امنیت و نفوذپذیری در شبکه

در طی سالهای اخیر بسیاری از شركت ها برای راحتی بیشتر مشتریان و كارمندان خود، برخی امكانات اضافی را به برنامه های كاربردی موجود اضافه كرده و یا برنامه های كاربردی جدیدی را پیاده سازی كرده اند.

 از طرف دیگر بسیاری از شركت ها به ضرورت حضور در اینترنت برای جذب مشتریان بالقوه و حفظ مشتریان فعلی پی برده اند. در هر دو مورد، زمانی كه بحث حضور در اینترنت پیش می آید، عنصر امنیت به خصوص امنیت سرورها اهمیت ویژه ای پیدا می كند. سرورهای وب ، در كنار سرویس های مفید خود، مجموعه جدیدی از آسیب پذیری ها را نیز پدید آورده اند كه لازم است دست اندركاران سیستم های رایانه ای، به خصوص سیستم های مبتنی بر وب، آنها را جدی تلقی كنند. البته آسیب پذیری ها به سرورها محدود نمی شوند و ممكن است به صورت عمدی یا غیر عمدی در طراحی و پیاده سازی برنامه های كاربردی، حتی برنامه هایی كه مدتهاست در حال كار هستند، ایجاد شده باشند. به همین جهت شناسایی آسیب پذیری ها و میزان نفوذ و تأثیر آنها بر روی سیستم از اهمیت ویژه ای برخوردار است. لذا بسیاری از شركت ها برای نیل به هدف فوق از تست نفوذ استفاده می كنند.

پیش نیاز اجرای تست نفوذ
هر شركت یا سازمان، پیش از اجرای تست نفوذ، به یك سیاست امنیتی كامپیوتر نیاز دارد. سیاست امنیتی، یك آئین نامه رسمی از قوانینی است كه باید توسط افرادی كه دسترسی به دارایی های اطلاعاتی و فناوری یك شركت یا سازمان دارند، رعایت شوند.

یك تست نفوذ یا Penetration Test یك پروسه مجاز، برنامه ریزی شده و سیستماتیك برای به كارگیری آسیب پذیری ها جهت نفوذ به سرور، شبكه و یا منابع برنامه های كاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یك سیستم یا شبكه كامپیوتری است كه از طریق شبیه سازی حمله یك هكر یا نفوذگر خرابكار صورت می گیرد. پروسه تست نفوذ یك تحلیل فعال از سیستم برای یافتن هر حفره، آسیب پذیری و نقص فنی است كه بالقوه یك ضعف امنیتی سیستم محسوب می شود. این تحلیل در مقام یك هكر بالقوه انجام می شود و در آن می توان از آسیب پذیری های امنیتی فعال برای اجرای حملات استفاده كرد. همه مشكلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهاد هایی برای كاهش اثر خطرات و یا راه حل های فنی به صاحب سیستم ارائه شوند. تست نفوذ می تواند با استفاده از منابع داخلی همچون سیستم امنیتی میزبان و یا منابع خارجی همچون اتصالات شركت به اینترنت هدایت شود. در این تست معمولاً از یك سری ابزارهای اتوماتیك و یا دستی برای آزمودن منابع سیستم استفاده می شود.

البته انجام تست نفوذ بر روی سیستم های فعال، خطر از هم گسستن آنها را در پی دارد زیرا اجرا كردن حملات فعال بر روی سیستم ممكن است منجر به از كار افتادگی، بروز برخی رفتارهای غیر قابل پیش بینی و بی ثباتی سیستم شود.
تست نفوذ چه چیزی نیست؟

یك اقدام هماهنگ نشده برای دسترسی بدون اجازه به منابع را نمی توان یك تست نفوذ دانست. تست نفوذ باید به صورت برنامه ریزی شده و هماهنگ با صاحبان سیستم انجام شود. كمترین تأثیر تست نفوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص نفوذ یا IDS (در صورت وجود) است. به علاوه برخی تست ها منجر به از كار افتادن تجهیزات شبكه یا سیستم می شوند و به همین علت آگاهی مدیران و كارمندان از انجام تست نفوذ یك ضرورت به حساب می آید. تنها مورد استثناء در آگاهی دادن كامل به كارمندان، مربوط به تست سیستم تشخیص نفوذ و عكس العمل كارمندان در برابر آن است. بنابراین گرفتن مجوز از مدیریت برای انجام تست نفوذ جهت پذیرش پیامدهای آن، ضروری محسوب می شود.

....