ГОСТ Р 54958—2012
5.4.2.2 Проверка контроля доступа персонала к сети
Проверку соответствия прав доступа к сети проводят методом контроля учетных записей на сер-
вере сети передачи данных. При этом проверяют, что:
- для персонала установлены контроль, регистрация и ограничение его действий;
- отсутствуют учетные записи, не имеющие отношения к сотрудникам организации (учетные за-
писи уволившихся сотрудников и т. п.);
- полномочия предоставлены персоналу в минимально необходимом объеме.
5.4.2.3 Проверка обеспечения конфиденциальности информации
Проверку обеспечения конфиденциальности управляющей информации и данных конфигуриро-
вания оборудования проводят методом испытания на проникновение в сеть.
Данный метод представляет собой проверку защиты сети, которую пытаются обойти эксперты,
основываясь на понимании ее структуры и реализации. Цель испытания на проникновение в сеть со-
стоит в идентификации способов получения доступа к системе при использовании типовых инструмен-
тов и методов.
Испытание на проникновение в сеть должно выполняться после тщательного изучения сети и
планирования испытания.
Перед проведением испытания на проникновение в сеть необходимо получить соответствующее
разрешение, которое должно включать в себя следующее:
- диапазон IP
1)
-адресов, который будет подвержен испытаниям;
- СВТ для служебного пользования, которые не будут подвергнуты испытаниям;
- перечень применяемых методик испытаний (социальная инженерия, DoS
2)
и т. д.) и инструмен-
тов (программное обеспечение для подбора пароля, снифферы сети и т. д.);
- указание времени начала и окончания испытаний;
- IP-адреса СВТ, которые будут осуществлять выполнение испытания на проникновение в сеть
(для возможности разделения санкционированного проникновения в сеть при испытаниях и злонаме-
ренных атак);
- меры для предотвращения последствий ложных тревог, возникающих в процессе испытания;
- обработка предварительных данных о сети, собранной перед испытанием на проникновение в сеть.
Испытание на проникновение в сеть может быть открытым или скрытым.
Испытание на проникновение в сеть может проводиться для моделирования внутренних и/или
внешних атак. Если испытание проводят и для внутренней, и для внешней атаки, в первую очередь
следует выполнить испытание для внешней атаки. При моделировании атаки в первую очередь должны
использоваться стандартные протоколы программных приложений: FTP, HTTP, SMTP и POP3
3)
.
При моделировании внешней атаки следует использовать сканеры портов и сканеры уязвимостей
для идентификации требуемых СВТ. После идентификации СВТ в сети делают попытки несанкциони-
рованного раскрытия или получения защищенной информации на одном из СВТ.
Испытание на внутреннее проникновение в сеть аналогично случаю внешнего проникновения
(внешней атаки), за исключением того, что испытатели находятся во внутренней сети (позади межсете-
вых экранов), и им предоставлен определенный уровень доступа к сети (в общем случае — как поль-
зователю). Далее делают попытки получения более высокого уровня доступа к сети через повышение
привилегий.
Испытание на проникновение состоит из четырех этапов, приведенных на рисунке 1.
На этапе планирования определяют правила проведения испытания, которые должны быть
утверждены руководством, ставят цели испытания. Никакого фактического испытания на этапе плани-
рования не проводят.
Этап обнаружения включает фактическое испытание. Сканирование сети (сканирование порта)
используют для определения потенциальных целей для проникновения. В дополнение к сканированию
портов также обычно используют другие методы сбора информации об испытуемой сети:
- опрос DNS
4)
;
- поиск целевых серверов организации для получения необходимой информации;
18
1)
IP (Internet Protocol) — протокол Интернета.
2)
DoS (Denial of Service) — отказ в обслуживании.
3)
FTP (File Transfer Protocol) — протокол передачи файлов.
HTTP (Hypertext Transfer Protocol) — протокол передачи гипертекста.
SMTP (Simple Mail Transfer Protocol) — упрощенный протокол передачи сообщений (электронной) почты.
POP3 (Post Office Protocol, version 3) — протокол (электронной) почты, версия 3.
4)
DNS (Domain Name System) — служба доменных имен.