Tietoturvan arvioiminen penetraatiotestauksen avulla
Varelius, Pauli (2016)
Varelius, Pauli
2016
Kuvaus
Opinnäytetyö kokotekstinä PDF-muodossa.
Tiivistelmä
Penetraatiotestaus on eräs tietoturva-auditoinnin muodoista, jonka tarkoituksena on simuloida aito hyökkäystilanne ja tällä tavoin pyrkiä löytämään järjestelmästä haavoittuvuuksia, jotta ne voidaan sen jälkeen paikata ja tällä tavoin parantaa järjestelmän turvallisuutta.
Tässä tutkielmassa käydään läpi kuinka tietoturvaa voidaan arvioida ja parantaa käyttäen apuna penetraatiotestauksen menetelmiä. Tutkielmassa käydään läpi normaalin penetraatiotestin eri vaiheet. Tutkielman tavoitteena oli suorittaa onnistunut penetraatiotesti valittuihin käyttöjärjestelmiin ja arvioida löydettyjen haavoittuvuuksien määrän ja vakavuuden kautta niiden tietoturvan tasoa. Lopuksi löydettyihin haavoittuvuuksiin annettiin sopivia korjausehdotuksia.
Tutkimuksen testauskohteiksi valitut käyttöjärjestelmät asennettiin VMWare Workstation virtualisointiohjelmiston avulla luotuun virtuaaliympäristöön, jonka rakenne kuvataan tutkielmassa tarkemmin. Käytössä ei ollut palomuuria eikä käyttöjärjestelmiin erikseen asennettu virustorjuntaohjelmistoa.
Penetraatiotestit toteutettiin käyttäen työkaluna erityisesti tätä tarkoitusta varten suunniteltua ilmaiseksi saatavilla olevaa Kali Linux jakelua ja siihen sisältyviä ohjelmia. Kali Linux on hyvin yleisesti käytetty työkalu penetraatiotestien toteuttamisessa.
Tutkimuksessa onnistuttiin suorittamaan penetraatiotesti kaikkiin valittuihin järjestelmiin ja niistä löydettiin lukuisia vakavia tietomurtoon johtaneita haavoittuvuuksia, joihin esitettiin lopuksi korjausvaihtoehtoja. Saatujen tulosten perusteella penetraatiotestaus todettiin hyväksi vaihtoehdoksi erilaisten järjestelmien tietoturvan arvioimiseksi ja parantamiseksi.
Tässä tutkielmassa käydään läpi kuinka tietoturvaa voidaan arvioida ja parantaa käyttäen apuna penetraatiotestauksen menetelmiä. Tutkielmassa käydään läpi normaalin penetraatiotestin eri vaiheet. Tutkielman tavoitteena oli suorittaa onnistunut penetraatiotesti valittuihin käyttöjärjestelmiin ja arvioida löydettyjen haavoittuvuuksien määrän ja vakavuuden kautta niiden tietoturvan tasoa. Lopuksi löydettyihin haavoittuvuuksiin annettiin sopivia korjausehdotuksia.
Tutkimuksen testauskohteiksi valitut käyttöjärjestelmät asennettiin VMWare Workstation virtualisointiohjelmiston avulla luotuun virtuaaliympäristöön, jonka rakenne kuvataan tutkielmassa tarkemmin. Käytössä ei ollut palomuuria eikä käyttöjärjestelmiin erikseen asennettu virustorjuntaohjelmistoa.
Penetraatiotestit toteutettiin käyttäen työkaluna erityisesti tätä tarkoitusta varten suunniteltua ilmaiseksi saatavilla olevaa Kali Linux jakelua ja siihen sisältyviä ohjelmia. Kali Linux on hyvin yleisesti käytetty työkalu penetraatiotestien toteuttamisessa.
Tutkimuksessa onnistuttiin suorittamaan penetraatiotesti kaikkiin valittuihin järjestelmiin ja niistä löydettiin lukuisia vakavia tietomurtoon johtaneita haavoittuvuuksia, joihin esitettiin lopuksi korjausvaihtoehtoja. Saatujen tulosten perusteella penetraatiotestaus todettiin hyväksi vaihtoehdoksi erilaisten järjestelmien tietoturvan arvioimiseksi ja parantamiseksi.