Гид по Kali Linux: тестирование на проникновение

Представляем вашему вниманию полный Гид по : тестирование на проникновение, книгу пригодную для использования как новичками так и уже опытными администраторами и экспертами ИБ для целей проведения аудита безопасности ИТ-инфраструктуры. Книга состоит из 8 частей, в которые входят 62 главы с подробным описанием используемых инструментов и методики тестирования.

Книга является систематизированным сборником, включающим переводы англоязычных ресурсов, книг и веб-сайтов посвященных теме и собственного опыта авторов.

Официальное описание к книге:

является передовым Linux дистрибутивом для проведения тестирования на проникновение и аудита безопасности. Информация в данной книге предназначена только для ознакомления или тестирования на проникновение собственных сетей.

Для тестирования сетей третьих лиц, получите письменное разрешение.

" Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника." - WiKi.

Вся ответственность за реализацию действий, описанных в книге, лежит на вас. Помните, что за неправомерные действия предусмотрена ответственность, вплоть до уголовной.

Книга состоит из 8 частей , в которые входят 62 главы . Все подробно рассказывается с использованием примеров. В книге используется самая актуальная информация на сегодняшний день.

Скачать можно или

Содержание

1. Общая информация и установка Kali Linux

Что Такое Kali Linux? Как установить Kali Linux: подробная инструкция для установки на компьютер и в виртуальную машину Установка Дополнений гостевой ОС VirtualBox для Kali Linux 2.0 Как установить Kali Linux на флешку и на внешний диск (простой способ) 10 лучших подсказок того, что нужно сделать после установки Kali Linux 2.0 Инструменты VMware в гостевой системе Kali Как включить VPN на Kali Linux — разрешение проблемы с невозможностью добавить VPN Проверка и восстановление репозиториев в Kali Linux из командной строки Как поменять среду рабочего стола в Kali Linux Как добавить/удалить обычного (не рута) пользователя в Kali Linux Как сбросить пароль root’а в Kali Linux Восстанавливаем GRUB в Kali Linux после обновления до Windows 10 Повышаем свою анонимность в Интернете с Tor в Kali Linux

2. Обзор инструментов Kali Linux

Бесплатное тестирование

Как происходит процедура тестирования вашей IT-безопасности?

Вы оформляете заявку через веб-форму. Инженеры наших партнеров инсталлируют продукты Cisco ASA c функциями FirePOWER на 2 недели в вашей организации. Через 14 дней вы получите отчет об опасных атаках , влияющих на работу вашей сети.

Еще одно преимущество

После того, как вы увидите пользу от продуктов безопасности Сisco, вы сможете приобрести защиту следующего поколения по специальной цене .

Межсетевые экраны нового поколения

Предотвращайте угрозы, контролируйте все, что происходит в сети, и сокращайте расходы на безопасность с помощью наших межсетевых экранов нового поколения с активной защитой от угроз.

Усовершенствованные средства защиты от атак повышенной сложности

Блокирование большего числа угроз и быстрая ликвидация последствий атак с помощью первых в отрасли межсетевых экранов нового поколения (NGFW) с активной защитой от угроз. Наши устройства NGFW с сервисами Firepower сочетают в себе проверенный межсетевой экран с самой эффективной в отрасли системой предотвращения вторжений нового поколения и защиту от сложного вредоносного ПО. Вы получите больше контроля, сможете сократить расходы и расширить возможности защиты своей сети.

Тестирование на проникновение

Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) является популярной во всем мире услугой в области информационной безопасности. Суть таких работ заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.

В большинстве случаев внешний атакующий способен проникнуть во внутреннюю сеть атакуемой компании, используя внешние объекты в качестве опорной платформы для развития и расширения поверхности атаки. До 20% критичных уязвимостей выявляются на этапе сбора информации - при минимальном воздействии (снижен риск обнаружения атаки) на тестируемые объекты. Комбинированный тест на проникновение, включающий социальную инженерию, является наиболее эффективным - до 70% пользователей атакуемой системы восприимчивы к социотехническим атакам.
Среди сотрудников, выполняющих тестирование на проникновение, сертифицированные специалисты в области информационной безопасности с опытом работы в области оказываемых услуг более 10 лет. Способность обнаруживать уязвимости на самых защищенных интернет-ресурсах, таких как Яндекс, AT&T и других - объективный показатель их профессиональной подготовки.
Выполняя тестирование на проникновение мы руководствуемся не только стандартами и методологиями, такими как OWASP, OSSTMM, NIST, но и используем лучшие мировые практики тестирования на проникновение, современные методы и инструменты, которые используют злоумышленники. Результат нашего подхода - 75% проводимых работ завершается получением полного доступа к тестируемой системе. Учитывая сложность тестируемых ресурсов такой показатель является крайне высоким.

Услуги предоставляются в соответствии с политиками аудита, базирующихся на методологии OSSTMM («The Open Source Security Testing Methodology Manual») и включают в себя действия:

Определение скопа IP адресов; Пассивный сбор информации; Определение периметра сети; Сканирование портов; Определение типов и видов сетевого оборудования; Определение типов и видов ОС, в инфраструктуре сети; Определение типов и видов смежной периферии в инфраструктуре сети; Определение типов и видов специализированных устройств или их совокупности; Сбор баннеров / поиск публичных эксплойтов; Анализ данных; Определение "точек входа"; Сбор и анализ полученной информации; Описание векторов атаки; Попытки эксплуатации; Подтверждение полученных векторов; Составление отчета.

По результатам тестирования на проникновение будет предоставлен детальный отчет с выявленными уязвимостями, рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения.

Тестирование на проникновение

Аудит безопасности сайта