Penetraatiotestaus osana tietoturvan toteutusta
Puhakka, Jarkko (2012)
Jyväskylän ammattikorkeakoulu
2012
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2012120618618
https://urn.fi/URN:NBN:fi:amk-2012120618618
Tiivistelmä
JYVSECTEC on Euroopan aluekehitysrahaston (EAKR) osarahoittama hanke, jonka toteut-tajana toimii Jyväskylän ammattikorkeakoulu. Hankkeen tarkoituksena on rakentaa tietotur-van testaamiseen, kehittämiseen ja koulutukseen tarkoitettu ympäristö.
Työn tarkoituksena oli tutkia penetraatiotestaukseen liittyviä vaiheita, toimintatapoja ja pe-netraatiotestaajien käyttämiä työkaluja. Penetraatiotestauksessa jäljitellään tapoja, joita mahdollinen hyökkääjä käyttää pyrkiessään murtautumaan tietoverkkoihin ja -järjestelmiin. Penetraatiotestaaja on niin kutsuttu eettinen hakkeri, joka testaa toimeksiantajansa järjes-telmiä ja verkkoa yrittämällä murtautua niihin. Penetraatiotestauksen pohjalta tehtyjen löy-dösten ja havaintojen pohjalta on tarkoitus pystyä parantamaan testauksen kohteen tieto-turvaa paikkaamalla siitä löytyneitä aukkoja. Penetraatiotestaus pystytään sovittamaan ja suorittamaan tarpeiden, sekä käytössä olevien resurssien mukaan. Penetraatiotestauksessa käytettävien työkalujen avulla voidaan myös helposti todentaa yksittäisten suojameka-nismien ja -järjestelmien toimivuus.
Työssä rakennettiin haavoittuva laboratorioverkko palveluineen, johon penetraatiotestauk-sessa käytettäviä työkaluja ja menetelmiä testattiin. Tuloksena saatiin todennettua penet-raatiotestauksen tuomia hyötyjä tietoturvaa toteutettaessa, sekä tietoturvan ja sen raken-teen ymmärtämisessä. Penetraatiotestaus eri muodoissaan on ainoa tapa testata tietotur-van toteutusta kokonaisuutena. Kattava penetraatiotestaus vaatii testaajilta paljon tietotai-toa, mutta toisaalta tämän päivän penetraatiotestaustyökalut ovat pitkälle kehittyneitä ja helpottavat työtä suuressa määrin. Penetraatiotestauksen opettelu toimii hyvänä pohjana tietoturvan opiskelulle.
Työn tarkoituksena oli tutkia penetraatiotestaukseen liittyviä vaiheita, toimintatapoja ja pe-netraatiotestaajien käyttämiä työkaluja. Penetraatiotestauksessa jäljitellään tapoja, joita mahdollinen hyökkääjä käyttää pyrkiessään murtautumaan tietoverkkoihin ja -järjestelmiin. Penetraatiotestaaja on niin kutsuttu eettinen hakkeri, joka testaa toimeksiantajansa järjes-telmiä ja verkkoa yrittämällä murtautua niihin. Penetraatiotestauksen pohjalta tehtyjen löy-dösten ja havaintojen pohjalta on tarkoitus pystyä parantamaan testauksen kohteen tieto-turvaa paikkaamalla siitä löytyneitä aukkoja. Penetraatiotestaus pystytään sovittamaan ja suorittamaan tarpeiden, sekä käytössä olevien resurssien mukaan. Penetraatiotestauksessa käytettävien työkalujen avulla voidaan myös helposti todentaa yksittäisten suojameka-nismien ja -järjestelmien toimivuus.
Työssä rakennettiin haavoittuva laboratorioverkko palveluineen, johon penetraatiotestauk-sessa käytettäviä työkaluja ja menetelmiä testattiin. Tuloksena saatiin todennettua penet-raatiotestauksen tuomia hyötyjä tietoturvaa toteutettaessa, sekä tietoturvan ja sen raken-teen ymmärtämisessä. Penetraatiotestaus eri muodoissaan on ainoa tapa testata tietotur-van toteutusta kokonaisuutena. Kattava penetraatiotestaus vaatii testaajilta paljon tietotai-toa, mutta toisaalta tämän päivän penetraatiotestaustyökalut ovat pitkälle kehittyneitä ja helpottavat työtä suuressa määrin. Penetraatiotestauksen opettelu toimii hyvänä pohjana tietoturvan opiskelulle.