چکیده:
با رشد و فراگیر شدن بستر شبکه در حوزه فناوری اطلاعات و ارتباطات و نقش مستقیمی که در ایجاد، نگهداری و توسعه کسب وکارها ایفا مینماید، بحث های امنیتی شبکه اهمیت ویژه ای مییابند. یکی از راه هایی که بتوان از پایداری و صحت امنیت شبکه اطلاع پیدا کرد، سنجش نفوذپذیری است . در سنجش نفوذپذیری با شبیه سازی حملات هکرها، اقدام به ارزیابی و شناسایی آسیب پذیریهای رایانه ها، شبکه ها و سامانه ها میگردد. این مقاله با روش پیمایش و با هدف شناخت فرآیند سنجش نفوذپذیری و ابزارهای به کار رفته در هر مرحله از آن و ارائه یک روش بومی مبتنی بر ابزارهای متن باز با قابلیت استفاده و کارایی این ابزارها انجام شده است . در این تحقیق ابتدا به شناخت کاملی از سنجش نفوذپذیری و مفاهیم آن پرداخته شده ، سپس با مطالعه عمیق و بررسی همه جانبه استانداردها و متدولوژیهای مختلف سنجش نفوذپذیری، یک متدولوژی مناسب برای سنجش نفوذپذیری شبکه ها ارائه گردیده است . هم چنین ابزارها و تکنیک های موثر برای مراحل پنج گانه اصلی جمع آوری، پویش ، دست یابی، حفظ دست یابی و پاک کردن رد پا مبتنی بر این روش نیز ارائه گردید. جامعه آماری شامل ٢٠ شبکه سازمانی (هر شبکه دارای ٥٠ تا ٨٠٠ رایانه ) توسط محققان انتخاب گردید و عملیات سنجش نفوذپذیری را با پنج ابزار پیشنهادی برای مراحل پنج گانه اصلی روی شبکه ها انجام دادند و با توجه به خروجی هر یک از ابزارها، سطح موفقیت آن بر اساس مقیاس لیکرت سنجیده شد. نتایج نشان داد شاخص های میانگین موفقیت این روش ٣,٣٧ و انحراف معیار آن ١,١١ است . که قابل قبول بودن و توانمندی این روش را تایید میکند و میتوان بر اساس روش پیشنهادی از این ابزارها برای سنجش نفوذپذیری شبکه ها استفاده نمود.
خلاصه ماشینی:
پنج مرحلـه ای کـه نفوذ گرها معمولا در جریان نفوذ به یک سیستم دنبال میکنند شامل مراحل زیر است (نوری, ١٣٨٩) شناسایی پویش حصول دسترسی نگه داری دسترسی رد گم کردن صرف نظر از این که از کدام استاندارد پیروی میشود باید یک روش و تاکتیک درست انتخـاب شـود تـا اثربخشی و کارایی لازم را متناسب با محیط ارزیابی و سنجش داشته باشد.
جدول ١- مقایسه ای بین استانداردها و تکنیک های سنجش نفوذ /استاندارد سنجش نفوذ ویژگیها مزایا معایب OSSTMM فرآیند ٤ مرحله ای ٩ فعالیت برای تکمیل فرآیند بررسی و تست در پنج حوزه o امنیت فیزیکی o امنیت ارتباطات o امنیت نیروی انسانی o امنیت ارتباطات بیسیم o امنیت داده ها و اطلاعات شبکه متدولوژی متن باز استفاده از معیارهای قابل محاسبه ایجاد فهرستی از مواردی که باید تست شوند پوشش کامل در حوزه شبکه و ارتباطات پوشش کم در حوزه برنامه های کاربردی جزییات زیاد برای تست و طولانی شدن زمان تست ISSAF فرآیند ٣ مرحله ای ٩ گام برای تکمیل فرآیند بررسی و تست شبکه ، سیستم و برنامه های کاربردی برقراری ارتباط مؤثر بین ابزار و عملیات تست اجرای تست با گام های مشخص بیان روش ها و اقدامات با جزییات و موظف بودن ارزیاب به پیروی از آن و کاهش خلاقیت ارزیاب در اجرای فرآیند NIST فرآیند ٤ مرحله ای بررسی و تست شبکه و سیستم تکرار مراحل جمع آوری اطلاعات و نصب ابزارها که منجر به کشف اطلاعات بیشتر و دست یابی به سیستم های بیشتر میشود سادگی و کاهش جزییات تست تکنیکی و ساده برای سازمان ها به طوری که تنها به عنوان بخشی از ارزیابی و سنجش کلی مورداستفاده قرار گیرد.