工具测试与渗透测试方法

  • 什么是工具测试
  • 工具测试的目的
  • 工具测试的作用
  • 测试流程
  • 收集目标系统信息
  • 规划接入点
  • 制定《工具测试作业指导书》
  • 现场测试
  • 结果整理
  • 注意事项


什么是工具测试

工具测试,是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,通过查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法

工具测试的目的

利用工具测试,可以直接获取到目标系统存在的系统、应用等方面的漏洞。 还可以在不同的区域接入测试工具所得到的测试结果,判断不同区域之间的访问控制情况。结合其他核查手段,可以为测评结果的客观和准确提供保证。

工具测试的作用

工具测试作为一种灵活的辅助测评手段,在标准文件中,没有直接说明其相关的测试工具和测试方法。
但是在标准之中,可以结合基本要求找出如何进行工具测试

以三级系统的等级保护要求来说 工具测试的作用。
安全通信网络:
通过工具测试,可以验证区域划分手段的有效性,可以发现vlan划分的问题。
安全区域边界:
通过工具测试,可以验证网络边界访问控制策略的有效性,也能验证访问控制粒度的问题;
通过工具测试,验证IDS/IPS的检查能力和报警功能。像特定区域发送一部分模拟攻击或扫描数据包,可以同时观察IDS/IPS设备的日志及报警情况等。
安全计算环境:
通过工具测试,可以列出系统中的默认口令、多余账户、弱口令等,辅助验证设备访问控制策略的有效性或存在的缺陷;
通过工具测试,可以验证设备服务端口的关闭情况,设备是否存在漏洞,以及对漏洞的修补情况。

测试流程

收集目标系统信息

实施工具测试,首先需要制定工具测试方案。为了制度工具测试方案,需要收集目标系统网络设备、安全设备、服务器及目标系统网络拓扑结构等相关信息。

网络设备:

目标网络设备的基本信息,例如路由器、交换机的型号等
目标网络设备的物理端口情况,例如是否具备接入测试工具的条件
目标网络设备的IP地址。

安全设备:

目标安全设备的基本信息,例如防火墙、IDS或特殊安全设备的型号等。
目标安全设备的IP地址(注意:防火墙、IDS等可能工作在透明模式下或没有IP地址)、

服务器:

目标服务器的基本信息,包括主机操作系统、运行的主要应用等。
目标服务器的IP地址
目标服务器的主要业务时间段(为测试工具测试时间段做准备)

网络拓扑结构:

目标系统的网络区域划分,例如应用区、数据库区等。
目标系统中各个网络设备、安全设备的位置。
目标系统不同区域之间的关系,例如区域级别的关系及区域之间的大致业务数据流程。

规划接入点

工具测试的首要原则是在不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。也就是说,工具测试不能影响或改变目标系统正常的运行状态,测试对象也要严格选定在方案中的被测对象范围。
接入点的规划,需考虑网络结构、访问控制、服务器部署情况等,现场测试时,可参考以下原则:

由低级别系统向高级别系统探测;
同一系统同等重要程度功能区域之间要相互探测;
由较低重要程度区域向较高重要程度区域探测;
由外联接口向系统内部探测;
跨网络隔离设备(包括网络设备和安全设备)要分段探测。

制定《工具测试作业指导书》

《指导书》是现场工具测试的指导文件,是工具测试顺利进行、测试证据准确获取的重要保证,是对之前各项准备工作所获取信息的总结,是进行现场工具测试的指导文件,进入现场后的所有操作都要严格按照指导书中的规划步骤进行,任何一个熟悉工具使用的人,拿到《指导书》后,都可以按照该文件完成工具测试,并取得测试证据

作业指导书包含内容:

接入点描述
各个接入点接入IP配置
被测目标系统的IP地址等系统信息描述
各个测试点测试开始结束时间
各个测试点可能出现的异常情况的记录

现场测试

是工具测试中的重要实施阶段,也是获取证据的重要实施阶段。

在获取到了现场测试的授权之后,进入现场,根据《工具测试作业指导书》或《测评方案》中的测试步骤,进行现场测试。测试过程中,必须详细记录每一接入点测试的起止时间、接入IP地址(包括接入设备的IP地址配置,掩码、网管配置等)。

如果测试过程中出现异常情况,要及时记录。重要验证步骤要抓图取证,为测试结果的整理准备充足必要的证据。

结果整理

测试结果整理分析,是依据报告统一格式对现场测评中取得的各种测试数据进行整理统计。

从整理的结果中,可以分析出被测系统中各个被测个体存在的漏洞情况,也可以根据各个接入点测试结果的统计整理,分析出各个区域之间的访问控制策略配置情况。

注意事项

测试前,由被测系统人员确定测试条件是否具备。主要包括被测网络设备、服务器等是否都在正常运行,测试时间段是否为可测试时间段等等
接入设备、工具的IP地址等配置要经过被测系统相关人员确认
对于测试过程可能造成的对目标系统的各种影响(例如口令探测可能会 造成的帐号锁定等情况),要事先告知被测系统相关人员
对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证工具取证
对于测试过程中出现的异常情况(服务器出现故障、网络中断等等)要及时记录
测试结束后,需要被测方人员确认被测系统状态正常并签字后离场