記事ディレクトリ
ツール試験方法
公安保護センターの省
シャンXuguang
1.ツールテストとは
ツールテストは、さまざまなテストツールを使用して、ターゲットシステムをスキャンおよび検出し、応答結果を表示および分析して、情報システムのセキュリティ保護対策が効果的に実装されているかどうかを証明する証拠を取得して、特定の応答を生成します。方法。ツールテストには、スキャン検出、侵入テスト、プロトコル分析、その他の手段が含まれます。
2. Gongxianテストの目的
ツールテストを使用すると、ターゲットシステム自体に存在するシステムとアプリケーションの脆弱性を直接取得できるだけでなく、さまざまな地域でテストツールにアクセスして得られた結果をテストすることで、さまざまな地域間のアクセスを判断できます。状況を制御します。ツールテストを他の検証方法と組み合わせて使用すると、テスト結果の目的と正確性を保証できます。
3.ツールテストの役割
ツールテストは、非常に柔軟な補助テスト方法として、特定のツールとツールテストのテスト方法を関連する標準ドキュメントで直接指定することはできません。しかし、標準について調査を行う場合、その中でのツールテストの役割を見つけることは難しくありません。
ここで、我々は、例えば3段階のシステムに必要な保護のレベルの「情報システムのセキュリティ保護のアセスメントの必要条件」「情報システムのセキュリティ要件の基本的なレベルを守る」ためには、テストツールを分析するためにどの役割で、
「情報システムでは■ 「セキュリティレベル保護の基本要件」「第3システムの保護の基本要件」、7.1.2ネットワークセキュリティ」:
■「情報システムのセキュリティレベル保護の基本要件」の「第3システムの保護の基本要件」、7.1.3 「ホストセキュリティ」の部分:
■3レベルのシステムを評価するための「情報システムのセキュリティレベル保護の評価の要件」の「7.1.2ネットワークセキュリティ」の部分:
複数の侵入テストを採用することで採用できる、ネットワークアクセス制御対策の侵入テストを実施する必要があります。ネットワークアクセス制御手段に明らかな弱点がないことを確認するテクノロジー。
侵入テストは境界と主要なネットワーク機器で実施する必要があります。ネットワーク機器の侵入テストは、さまざまな侵入テスト手法を使用して実行し、ネットワーク機器の保護機能が要件を満たしているかどうかを確認します。
■「情報システムのセキュリティレベル保護の評価の要件」の第3システムの保護に関する基本要件の「7.1.3ホストのセキュリティ」セクション:
メインサーバーのオペレーティングシステムは、侵入テストを行う必要があります。ユーザーパスワードの強度チェックを実施して、ユーザーパスワードが解読できるかどうか、およびパスワードが解読された後にシステムにログインできるかどうかを確認します。
メインサーバーのオペレーティングシステムを侵入テストして、システムログインの認証方法を回避する方法があるかどうかをテストする必要があります。
アプリケーションシステムのIDおよび認証機能に明らかな弱点がないことを確認するために、メインアプリケーションシステムを侵入テストする必要があります。
メインアプリケーションシステムは侵入テストを行って、アクセス制御を回避し、アプリケーションシステムのアクセス制御機能に明らかな弱点がないことを確認する必要があります。
4.ツールテストのプロセス
通常の状況では、ツールテストには以下の手順が必要です。
■ターゲットシステム情報の収集
■ツールテストアクセスポイントの計画
■「ツールテスト運用ガイドブック」の作成
■オンサイトテスト
■テスト結果分析
ターゲットシステム情報を収集する
選択したものをスキームに含める:
■ネットワーク機器(相互接続された1Pアドレス、ポートの使用)
■セキュリティ機器(動作ステータス:透過、ルーティングモードなど; lPアドレスなど)
■各ホストデバイスのタイプ(オペレーティングシステムタイプ、メインアプリケーション、 IPアドレスなど)
■ターゲットシステムのネットワークトポロジ(各地域でのネットワークアドレスセグメントの分割など)などの関連情報
アクセスポイントをテストするための計画ツール
さまざまな状況、アクセス制御、ホストの場所と大きく異なると、アクセスポイント、ネットワーク構造を計画、そこに従わなければならない固定パターンはありませんが、経験のテストによると、だけでなく、いくつかの基本的な、一般的な原則を要約:
■低レベルのシステムから高レベルのシステムへの
検出; ■同じシステム内の同じ重要度レベルの機能領域間の相互検出; ■重要度
の低い領域から重要度の高い領域への検出;
■外部インターフェースからシステムへの検出;
■ネットワーク間分離機器(ネットワーク機器やセキュリティ機器を含む)は、セクションで検出する必要があります。
サブシステム:
■ターゲットシステムには、異なるサブシステムが存在する可能性があります。このサブシステムには、2つのサブシステムと3つのサブシステムがある場合があります。サブシステムは、異なるレベルのサブシステムの場合、テストの標準で異なる要件を使用する必要があります。
機能領域:
■テスト中のシステムでは、タイプ1サービスフロントエンド領域、タイプ2サービスフロントエンド領域、コアサーバー領域など、さまざまな機能領域がある場合があります。これらの機能領域は、ビジネス、データの重要性、およびネットワーク構造の包括的な分析に従って、重要度の異なる機能領域に分割できます。
外部インターフェース:
■テスト中のシステムと、インターネットやサードパーティのビジネスユニットなどの外部ネットワークとの間の接続リンク上のネットワーク境界インターフェース。
「ツールテスト操作ガイド」を開発
操作ガイドには、内容が含まれています
■
アクセスポイントの
説明■ 各アクセスポイントのIP構成
■テスト中のターゲットシステムのIPアドレスなどのシステム情報の説明■
各テストポイントのテスト開始時間と終了時間■各テストポイントで発生する可能性のある異常の記録
フィールドテスト
現地試験の承認を得た後、「工具試験運用ガイド」の試験手順に従い、現場に入り、現地試験を行ってください。テスト中、各アクセスポイントテストの開始時間と終了時間、アクセスIPアドレス(アクセスデバイスのIPアドレス構成、マスク、ネットワーク管理構成を含む)を詳細に記録する必要があります。テスト中に異常な状況が発生した場合は、時間内に記録する必要があります。テスト結果は時間内に並べ替えて保存する必要があり、重要な検証手順を収集して証拠を取得し、テスト結果を並べ替えるために十分かつ必要な証拠を準備する必要があります。
オンサイトテストプロセスでは、一部の脆弱性が侵入テストを受ける可能性があります。侵入テストでは、検出された脆弱性の分析と判断が必要です。目的は、脆弱性の信頼性を検証し、後続のレポートにテスト証拠を提供することです。
テスト結果分析
テスト結果は、レポートの統一されたフォーマットに従ってソートおよび分析され、フィールド評価で取得されたさまざまなテストデータの統計情報がソートされます。照合結果から、テスト対象システム内の個々の個人の抜け穴を分析できます。また、各アクセスポイントのテスト結果の統計的照合に基づいて、さまざまな領域間のアクセス制御ポリシーの構成を分析することもできます。
5.ツールテストの注意事項
ツールテストをテスト機器に接続する前に、テスト対象者はまずテスト条件が満たされているかどうかを判断する必要があります。テスト条件には、テスト対象のネットワーク機器、ホスト、セキュリティ機器などがすべて正常に動作しているか、テスト期間がテスト可能な期間であるかなどが含まれます。
システムに接続されている機器やツールのIPアドレスは、テスト中のシステムの関係者が確認する必要があります。
テストプロセスがネットワークトラフィックとターゲットシステムのホストパフォーマンスに及ぼす可能性のある影響(パスワードの検出によって引き起こされる可能性のあるアカウントロックアウトなど)については、テスト中のシステムの関係者に事前に通知する必要があります。
テストプロセスの主要な手順と重要な証拠については、スクリーンショットなどのフォレンジックツールを使用して、タイムリーに証拠を取得する必要があります。
テスト中に発生した異常な状態(サーバー障害、ネットワークの中断など)については、テストが完了した後、時間内に記録する必要があります。また、テスト対象者は、テスト対象のシステムが正常な状態にあることを確認し、フィールドを離れる前にサインオフする必要があります。
6.ツールのテスト例の分析
システムは論理的に5つの領域に分かれています。
除算
シリアル番号 | 地域 | 事業内容 | 内容 |
---|---|---|---|
1 | インターネットアクセスゾーン | やや | インターネットアクセス用の通信リンク、インターフェース、ネットワーク機器を提供します。 |
2 | WEBサーバーエリア | やや | インターネットアクセスからユーザーにWEBクエリ機能を提供 |
3 | 首都圏オフィスアクセスエリア | やや | 大都市圏のオフィスアクセス用の通信リンク、インターフェース、ネットワーク機器を提供します。 |
4 | フロントアプリケーションエリア | やや | メトロポリタンエリアネットワークからオフィスユーザーにアプリケーションサービスを提供する |
5 | コアデータベース領域 | やや | コアデータを保存し、WEBサービスサブシステムおよびメトロポリタンエリアネットワークオフィスサブシステムにサービスを提供します。 |
注:SW1は、2つのサブシステム間の境界としてファイアウォールマグネシウムブロックを備えたコアスイッチです。
安全装備一覧
シリアル番号 | デバイス名 | 用途 | バージョン |
---|---|---|---|
1 | インターネットアクセスファイアウォールFW1 | インターネットアクセスのアクセス制御 | V1.0 |
2 | IDS | インターネットアクセスのアクセス制御 | V1.0 |
3 | メトロポリタンエリアネットワークアクセスファイアウォールFW2 | メトロポリタンエリアネットワークアクセスのアクセス制御 | V1.0 |
4 | WEBサーバー領域のファイアウォールFW3 | コアスイッチのファイアウォールモジュールは、WEBサーバー領域への内部アクセスへのアクセス制御を提供します | V1.0 |
サーバーとホストのチェックリスト
シリアル番号 | デバイス名 | 用途 | バージョン |
---|---|---|---|
1 | WEBアプリケーションサーバー | WEBアプリを提供 | Windows2003server + sp1 IIS |
1 | フロントエンドビジネスアプリケーションサーバー | フロントエンドビジネスアプリケーション | Windows2003server + sp1 IIS |
1 | コアデータベースサーバー | コアデータベース | AIX-V1.0、Oracle V1.0 |
アクセスポイントをセットアップする
5つの領域:
インターネットアクセス領域
WEBサーバー領域
首都圏オフィスアクセス領域
フロントエンドアプリケーション領域
コアデータベース領域
スキャンパスを設定
ツールテストの対象となる機器と対応するIPアドレス
デバイス名 | バージョン情報 | IPアドレス |
---|---|---|
インターネットアクセスルーターRT1 | V1.0 | 未定 |
メトロポリタンエリアネットワークアクセスルーターRT2 | V1.0 | 192.168.100.1 |
コアスイッチSW1 | V1.0 | 172.18.16.1、172.18.12.1 |
インターネットアクセスファイアウォールFW1 | V1.0 | 123.123.123.1 |
IDS | V1.0 | 透過モード |
メトロポリタンエリアネットワークアクセスファイアウォールFW2 | V1.0 | 192.168.200.3 |
WEBサーバーエリア防護壁FW3 | V1.0 | 172.18.10.1 |
WEBアプリケーションサーバー | Windows2003server + sp1 | 172.18.10.16、123.123.123.2 |
フロントエンドビジネスアプリケーションサーバー | Windows2003server + sp1 | 172.18.16.32 |
コアデータベースサーバー | AIX-V1.0、Oracle V1.0 | 172.18.18.16 |
7.テストツールの使用
やや
結果判定
誤警報の可能性
■オペレーティングシステムタイプの判断エラー。
■サービス種別判定エラー
■ポートAで動作しているサービスはaですが、bサービスのみの脆弱性があります。
■一部のサービスは、存在しない弱いパスワードのユーザーを報告しましたが、対応する推測されたパスワードで弱いパスワードのユーザー名を使用して接続できませんでした。
■一部のサービスのターゲットマシンにプログラムをインストールしなかったいくつかの脆弱性を報告しました