Αξιολόγηση της ασφάλειας ενός πληροφοριακού συστήματος σε ελεγχόμενο περιβάλλον
Evaluation of computing system's security in a controlled environment
Keywords
Δοκιμή διείσδυσης ; Ανίχνευση ευπαθειών ; Kali Linux ; Metasploit ; Ασφάλεια πληροφοριών ; Ασφάλεια πληροφοριακών συστημάτωνAbstract
Σκοπός της παρούσας πτυχιακής εργασίας είναι να παρουσιάσει τη διαδικασία με την οποία εφαρμόζονται οι διάφορες τεχνικές ελέγχου ασφαλείας από τους επαγγελματίες του κλάδου. Ειδικότερα θα επικεντρωθεί στις έννοιες των «δοκιμών διείσδυσης» (penetration testing). Η δομή της εργασίας αυτής χωρίζεται σε πέντε κεφάλαια. Στο πρώτο κεφάλαιο θα αναφερθώ σε βασικές έννοιες όπως αυτές των δικτύων, των πληροφοριακών συστημάτων και των χάκερ. Το δεύτερο κεφάλαιο αποτελείται αποκλειστικά από την επεξήγηση των δοκιμών διείσδυσης, πως πραγματοποιούνται και γιατί είναι απαραίτητες σε κάθε επιχείρηση/οργανισμό. Το τρίτο μέρος θα εστιάσει στην επεξήγηση των εργαλείων που θα χρησιμοποιηθούν και στην υλοποίηση ενός εικονικού εργαστηρίου. Στο τέταρτο κεφάλαιο θα υλοποιήσω ένα σενάριο δοκιμής διείσδυσης στις εικονικές μηχανές του εργαστηρίου με επεξήγηση των βημάτων. Κάθε επιτυχής δοκιμή διείσδυσης ολοκληρώνεται με τη σύνταξη μίας αναφοράς-έκθεσης που περιέχει τα ευρήματα των δοκιμών και την αξιολόγησή τους. Το τελευταίο κεφάλαιο θα περιλαμβάνει μία τέτοια αναφορά προσαρμοσμένη στα δεδομένα της εργασίας αυτής, καθώς και τα συμπεράσματα που προέκυψαν από την εργασία αυτή.
Abstract
The purpose of this dissertation is to present the process, in which Information Security practitioners apply various methods to test the security of a given digital system and its network infrastructure. Specifically, it will focus on the concept of penetration testing. This paper is structured in five parts. The first part consists of basic concepts regarding networks, information systems and hackers. The second parts focuses exclusively on the concept of penetration testing and it’s method of usage per given scenario. The third part will provide more detailed info about the tools commonly used in Penetration Testing and the creation of a virtual laboratory. The fourth part will delve into the actual implementation and application of Penetration Testing methods by simulating an attack scenario against the virtual machines created. Finally, in the the fifth part I will include the conclusions derived from the testing and will be including a report including all steps performed. This is typical procedure in the Penetration Testing industry.