Status Information

Security Classification: Confidential

Prepared by: Theodoros Ntouskas
Approved by:
Current version:
Date:
State:

Ειδικά Θέµατα Πληροφοριακών Συστηµάτων &

Βάσεων Δεδοµένων µε Έµφαση στην Ασφάλεια

Ενδεικτικό Template για τα αποτελέσµατα του τεχνικού

ελέγχου αδυναµιών
 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

Περιεχόµενα

1. Εισαγωγή ........................................................................................................................................ 2
1.1 Σκοπός ................................................................................................................................... 2
1.2 Πεδίο Εφαρµογής .................................................................................................................. 2
1.3 Επιτελική Σύνοψη ................................................................................................................. 2
1.4 Δοµή παραδοτέου .................................................................................................................. 4
2. Μεθοδολογία ................................................................................................................................... 5
2.1 Μεθοδολογία ελέγχου ........................................................................................................... 5
2.1.1 1η Φάση: Αρχικός Σχεδιασµός - Προετοιµασία ............................................................... 5
2.1.2 2η Φάση: Συλλογή Πληροφοριών-Χαρτογράφηση υποδοµών......................................... 5
2.1.3 3η Φάση: Ανίχνευση Αδυναµιών ...................................................................................... 6
2.1.4 4η Φάση: Δοκιµές ............................................................................................................. 7
2.1.5 5η Φάση: Αξιολόγηση Ευρηµάτων – Διορθωτικές Ενέργειες .......................................... 7
2.1.6 6η Φάση: Αναφορές (Reporting) ...................................................................................... 7
2.2 Εργαλεία ................................................................................................................................ 7
2.2.1 Nessus Vulnerability Scanner ........................................................................................... 7
2.2.2 Nmap Security Scanner ..................................................................................................... 7
3. Αποτελέσµατα ελέγχου ασφάλειας ................................................................................................. 8
3.1 Ευρήµατα Υψηλής Κρισιµότητας ......................................................................................... 8
3.2 Ευρήµατα Μεσαίας Κρισιµότητας ........................................................................................ 9
3.3 Ευρήµατα Χαµηλής Κρισιµότητας ....................................................................................... 9
4. Αναφορές ...................................................................................................................................... 10
Παράρτηµα I ......................................................................................................................................... 11

Dr. Theodoros Ntouskas 1

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

1. Εισαγωγή

1.1 Σκοπός
Σκοπός του ελέγχου ασφάλειας ήταν να αναγνωριστούν οι πιθανές αδυναµίες ασφάλειας του δικτύου
υποδοµής όπου θα εγκατασταθεί το πληροφοριακό σύστηµα του ΟΡΓΑΝΙΣΜΟΥ.
Στο παρόν παραδοτέο αναφέρεται τόσο η µεθοδολογία που ακολουθήθηκε όσο και τα ευρήµατα του
ελέγχου καθώς και προτάσεις για τη βελτίωση της ασφάλειας της υποδοµής. Πρωτεύων στόχος του
παραδοτέου είναι να παρουσιάσει τα ευρήµατα, µε τρόπο απλό και κατανοητό, και
κατηγοριοποιηµένα ανάλογα µε την κρισιµότητα και το είδος των αδυναµιών.
Ακολουθεί η επιτελική σύνοψη των αποτελεσµάτων στην οποία παρουσιάζεται η γενική εικόνα όπως
αυτή σχηµατίστηκε έπειτα από την διενέργεια των ελέγχων ασφάλειας.

1.2 Πεδίο Εφαρμογής

Το πεδίο εφαρµογής της συγκεκριµένης µελέτης ασφάλειας περιλαµβάνει .....
• ....
• ....

1.3 Επιτελική Σύνοψη

Με την ολοκλήρωση του ελέγχου ασφαλείας βρέθηκαν ### αδυναµίες Υψηλής, ## Μεσαίας και ##
Χαµηλής κρισιµότητας. Στον πίνακα που ακολουθεί παρουσιάζονται συγκεντρωτικά τα
αποτελέσµατα του ελέγχου.

Εύρηµα Κρισιµότητα Κατάσταση

Dr. Theodoros Ntouskas 2

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

Το παρακάτω γράφηµα απεικονίζει την ποσόστωση των ευρηµάτων µε βάση την κρισιµότητά τους.

Εικόνα 1: Ευρήµατα ασφάλειας

Dr. Theodoros Ntouskas 3

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

1.4 Δομή παραδοτέου

Το παρόν παραδοτέο αποτελείται από τρία (3) βασικά κεφάλαια. Στο 2ο κεφάλαιο περιγράφεται η
µεθοδολογία ελέγχου που ακολουθήθηκε, καθώς και τα εργαλεία που χρησιµοποιήθηκαν για τη
διεξαγωγή του ελέγχου και των δοκιµών διείσδυσης. Το 3ο κεφάλαιο περιλαµβάνει την αναλυτική
παρουσίαση των αδυναµιών που εντοπίστηκαν στην υποδοµή. Οι αδυναµίες περιλαµβάνουν την
επίπτωση της κάθε µιας, τον τρόπο µε τον οποίο εντοπίστηκε καθώς και την προτεινόµενη λύση για
την επιδιόρθωσή της. Στο 4ο κεφάλαιο παρατίθεται η σχετική βιβλιογραφία.

Dr. Theodoros Ntouskas 4

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

2. Μεθοδολογία

Η µεθοδολογία η οποία ακολουθήθηκε έχει στηριχθεί σε υπάρχουσες µεθοδολογίες ανίχνευσης

ευπαθειών, όπως είναι οι Information Systems Security Assessment Framework (ISSAF) [1] και
Open Source Security Testing Methodology Manual (OSSTMM) [2], λαµβάνοντας υπόψη της
ελέγχους και τεχνικές οι οποίες προδιαγράφονται και καθορίζονται από τα συγκεκριµένα πλαίσια.

2.1 Μεθοδολογία ελέγχου

Η µεθοδολογία ελέγχου των αδυναµιών αποτελείται από έξι (6) Φάσεις οι οποίες περιγράφονται στη
συνέχεια.

1η Φάση: Αρχικός Σχεδιασμός - Προετοιμασία

2η Φάση: Συλλογή ΠΛηροφοριών - Χαρτογράφηση Υποδομών

3η Φάση: Ανίχνευση Αδυναμιών

4η Φάση: Δοκιμές

5η Φάση: Αξιολόγηση Ευρημάτων

6η Φάση: Αναφορές

Εικόνα 2: Φάσεις µεθοδολογίας ελέγχου ασφάλειας

2.1.1 1η Φάση: Αρχικός Σχεδιασμός - Προετοιμασία

Η 1η Φάση της µεθοδολογίας περιλαµβάνει:
• την έγκριση εκτέλεσης ελέγχου από τον Οργανισµό
• τον προσδιορισµό του εύρους του ελέγχου
• χρονοδιάγραµµα εκτέλεσης του ελέγχου

2.1.2 2η Φάση: Συλλογή Πληροφοριών-Χαρτογράφηση υποδομών

Στη 2η Φάση γίνεται η συλλογή της πληροφορίας η οποία είναι απαραίτητη για τις επόµενες φάσεις
της µεθοδολογίας. Η συλλογή των πληροφοριών µπορεί να πραγµατοποιηθεί είτε µε χρήση
αυτοµατοποιηµένων εργαλείων και µηχανών αναζήτησης είτε µε ανασκόπηση δικτυακών
ιστοσελίδων, είτε µε συνδυασµό των παραπάνω τρόπων.
Ταυτόχρονα, στην 2η Φάση πραγµατοποιείται ο προσδιορισµός των τεχνικών χαρακτηριστικών του
ΠΣ του Οργανισµό. Συγκεκριµένα, θα πραγµατοποιηθούν:

Dr. Theodoros Ntouskas 5

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

• η αναγνώριση και η σκιαγράφηση των υπηρεσιών.

• η εξερεύνηση των ορίων των δικτύων (Network Mapping)
• η ανίχνευση των διαθέσιµων θυρών (Port Scanning)
• η απαρίθµηση και σκιαγράφηση των συστηµάτων
• ο προσδιορισµός των Λειτουργικών Συστηµάτων (OS fingerprinting)
• η καταγραφή των πληροφοριών δροµολόγησης
• ο προσδιορισµός των υποστηριζόµενων πρωτοκόλλων.

2.1.3 3η Φάση: Ανίχνευση Αδυναμιών

Η απαραίτητη πληροφορία η οποία συλλέχθηκε στην προηγούµενη φάση (2η Φάση: Συλλογή
Πληροφοριών-Χαρτογράφηση υποδοµών) χρησιµοποιείται για την ανίχνευση ευπαθειών.
Συγκεκριµένα, η 3η Φάση υλοποιείται µε τη βοήθεια των παρακάτω βηµάτων:
Βήµα 1: Αναζήτηση γνωστών αδυναµιών
Γίνεται η αναζήτηση σε γνωστές βάσεις δεδοµένων αδυναµιών (όπως η NIST’s National
Vulnerability Database, BugTraq, ISS’ Xforce, Common Vulnerability and Exposures κλπ) οι οποίες
συνεχώς ανακοινώνουν νέες αδυναµίες για όλες τις κατηγορίες αγαθών ενός Π.Σ.
Βήµα 2: Ανίχνευση αδυναµιών
Στο 2ο Βήµα, για κάθε αγαθό του υπό εξέταση ΠΣ, χρησιµοποιείται ένα σύνολο από
αυτοµατοποιηµένα ή όχι εργαλεία ώστε να επαληθευθεί η ύπαρξη των αδυναµιών που εντοπίστηκαν
στο 1ο Βήµα. Τα εργαλεία αυτά διαφέρουν ανάλογα µε το είδος του αγαθού που εξετάζουν.
Συγκεκριµένα, ανάλογα µε το είδος του υπό εξέταση αγαθού θα πραγµατοποιηθούν διαφορετικοί
έλεγχοι. Ενδεικτικά αναφέρονται οι παρακάτω:
• Έλεγχος Ασφάλειας Τείχους Προστασίας(Firewall)
• Έλεγχος Ασφάλειας Δικτυακού Εξοπλισµού (Router/Switch)
• Έλεγχος Ασφάλειας Εξυπηρετητών (Servers)
• Έλεγχος Ασφάλειας Βάσεων Δεδοµένων
• Έλεγχος Μηχανισµών Ελέγχου Πρόσβασης
• Έλεγχος Μηχανισµών Ανίχνευσης Εισβολών
• Έλεγχος Ισχύος κωδικών πρόσβασης

Βήµα 3: Δηµιουργία λίστας µε όλες τις αδυναµίες που εντοπίστηκαν

Έπειτα από την ολοκλήρωση της ανίχνευσης αδυναµιών του 1ου και 2ου Βήµατος, γίνεται η
επισκόπηση των αδυναµιών που εντοπίστηκαν και δηµιουργείται η τελική λίστα µε τις αδυναµίες.

Dr. Theodoros Ntouskas 6

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

2.1.4 4η Φάση: Δοκιμές

Στην συγκεκριµένη φάση πραγµατοποιούνται δοκιµές οι οποίες θα επιβεβαιώσουν τις αδυναµίες που
εντοπίστηκαν στην προηγούµενη Φάση.

2.1.5 5η Φάση: Αξιολόγηση Ευρημάτων – Διορθωτικές Ενέργειες

Στόχος της συγκεκριµένης φάσης είναι η αξιολόγηση των ευρηµάτων και η υλοποίηση των
απαιτούµενων βελτιώσεων και διορθωτικών ενεργειών ώστε να καλυφθούν οι αδυναµίες οι οποίες
εντοπίστηκαν. Η κρισιµότητα κάθε ευρήµατος κατηγοριοποιείται µε βάση την παρακάτω κλίµακα.
Κρισιµότητα ευρήµατος
Χαµηλή
Μεσαία
Υψηλή

2.1.6 6η Φάση: Αναφορές (Reporting)

Στην 6η φάση συντάσσονται όλες οι απαραίτητες αναφορές (reports), λαµβάνοντας υπόψη όλα τα
αποτελέσµατα των προηγούµενων φάσεων. Οι αναφορές αυτές περιλαµβάνουν τουλάχιστον τα εξής:
• Στόχος και εύρος των δοκιµών
• Εργαλεία που χρησιµοποιήθηκαν
• Αποτελέσµατα εργαλείων σε διάφορες µορφές, όπως Αναφορές ανά host / group,
συγκεντρωτικές αναφορές ανά ip range, subnet, hosts, συγκεντρωτικές αναφορές από
πολλαπλά tests κλπ.
• Ιεραρχηµένη λίστα των ευπαθειών που εντοπίστηκαν
• Λίστα µε τις προτεινόµενες λύσεις

2.2 Εργαλεία
Στη συγκεκριµένη ενότητα του παραδοτέου περιγράφονται τα βασικά εργαλεία που
χρησιµοποιήθηκαν για τον τεχνικό έλεγχο ασφάλειας του.....
2.2.1 Nessus Vulnerability Scanner
Το Nessus [3] αποτελεί το πιο γνωστό εργαλείο στον εντοπισµό και την αξιολόγηση δικτυακών
υποδοµών. Παρέχει µία µεγάλη σε εύρος απειλών βάση δεδοµένων που ανανεώνεται µε τις πιο
πρόσφατες απειλές που έχουν εντοπιστεί και παρέχει γρήγορη ανταπόκριση στην ανίχνευσή τους στις
υπό εξέταση υποδοµές.

2.2.2 Nmap Security Scanner

Το Nmap [4] αποτελεί το πλέον γνωστό εργαλείο ανίχνευσης δικτυακών υποδοµών. Χρησιµοποιείται
κυρίως στη χαρτογράφηση ενός υπό εξέταση δικτύου µε κύριο σκοπό την ανίχνευση λειτουργικών
συστηµάτων (OS detection), δικτυακών εξυπηρετητών (servers) καθώς και ενεργών θυρών (open
ports).

Dr. Theodoros Ntouskas 7

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

3. Αποτελέσματα ελέγχου ασφάλειας

Στο παρόν κεφάλαιο παρουσιάζονται µε σειρά κρισιµότητας τα αποτελέσµατα του ελέγχου

ασφάλειας. Συγκεκριµένα, περιγράφεται το επίπεδο κινδύνου, η κατάσταση αντιµετώπισης, η
επίπτωση, οι λεπτοµέρειες εντοπισµού και η προτεινόµενη λύση για κάθε εύρηµα.

3.1 Ευρήματα Υψηλής Κρισιμότητας

Στους πίνακες που ακολουθούν αποτυπώνονται τα ευρήµατα Υψηλής Κρισιµότητας.
Finding 1.1
Severity High
Status
Description of
Finding
Impact
Details of Finding
Affected Servers
Recommendation

Dr. Theodoros Ntouskas 8

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

3.2 Ευρήματα Μεσαίας Κρισιμότητας

Στους πίνακες που ακολουθούν αποτυπώνονται τα ευρήµατα Μεσαίας Κρισιµότητας.
Finding 2.1
Severity Medium
Status
Description of
Finding
Impact
Details of Finding
Affected Servers
Recommendation




3.3 Ευρήματα Χαμηλής Κρισιμότητας
Στους πίνακες που ακολουθούν αποτυπώνονται τα ευρήµατα Χαµηλής Κρισιµότητας.

Finding 3.1
Severity Low
Status
Description of
Finding
Impact
Details of Finding
Affected Servers
Recommendation

Dr. Theodoros Ntouskas 9

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

4. Αναφορές

[1] ISSAF - http://seclists.org/pen-test/2005/Jan/17

[2] OSSTMM - http://www.isecom.org/mirror/OSSTMM.3.pdf
[3] Nessus - http://www.tenable.com/products/nessus-vulnerability-scanner
[4] Nmap - http://nmap.org/

Dr. Theodoros Ntouskas 10

 Ειδικά Θέµατα Πληροφοριακών Συστηµάτων & Βάσεων
May 15, 2017 Δεδοµένων µε Έµφαση στην Ασφάλεια

Παράρτημα I

Στο συγκεκριµένο παράρτηµα παρατίθεται η ανίχνευση που διενεργήθηκε για την εύρεση ανοιχτών
θυρών (ports). Τα αποτελέσµατα παρουσιάζονται ανά εξυπηρετητή (server).

Αποτελέσµατα ελέγχου ανίχνευσης ανοιχτών θυρών (ports)

Server IP
Open ports

Server IP
Open ports

Server IP
Open ports

Server IP
Open ports

Dr. Theodoros Ntouskas 11