- •Анотація
- •Перелік умовних позначень
- •Розділ 1. Встановлення віртуальних тестових машин
- •Історія
- •Ключові можливості
- •Поточний стан
- •Категорії
- •Установка BackTrack
- •Р ис. 2. Загальний вигляд BackTrack 5 r3.
- •Коротко про ос
- •Встановлення FreeBsd
- •Налаштування спільних папок
- •Висновок до Розділу 1
- •Розділ 2. Встановлення віртуального тестового сервера
- •Установка Apache 2
- •Установка php 5
- •Установка MySql і його модулів для php 5
- •Форвард портів на маршрутизаторах tp-link
- •Резервування адреси
- •Зміна порту веб-управління маршрутизатором
- •Перекидування порту / Відкриття порту
- •Віддалене керування сервером
- •Р ис. 23. Створення облікового запису.
- •Р ис. 27. Монтування на клієнті.
- •Висновок до Розділу 2
- •Розділ 3. Тестування на надійність в середовищі віртуальної тестової лабораторії Тестування веб-сервера
- •Плагіни
- •Установка програми
- •Використання
- •Робота з веб-інтерфейсом
- •Тестування надійності засобів віддаленого управління
- •Тестування надійності ос, що встановлені у віртуальному тестовому середовищі
- •Використання вразливості xss
- •Висновок до Розділу 3.
- •Висновок
- •Список використаних джерел
ДИПЛОМНА РОБОТА БАКАЛАВРА
на тему ___________________________________________________________
__________________________________________________________________
__________________________________________________________________
Виконав:
студент (курсант) 4-го курсу, групи ІБ-41 напряму підготовки 6.170103
"Управління інформаційною безпекою"
___________________________________
(прізвище, ім’я, по батькові)
Керівник ___________________________
(прізвище та ініціали)
Рецензент___________________________
(прізвище та ініціали)
Львів – 2015
Зміст
Анотація 4
Перелік умовних позначень 6
Вступ 8
Розділ 1. Встановлення віртуальних тестових машин 10
VirtualBox 10
Історія 10
Ключові можливості 10
Сумісність 12
VirtualBox в Ubuntu 12
BackTrack 14
Опис 14
Поточний стан 15
Категорії 15
Установка BackTrack 16
FreeBSD 19
Коротко про ОС 19
Встановлення FreeBSD 20
Налаштування спільних папок 25
В ОС Windows 26
В ОС Linux 29
Висновок до Розділу 1 31
Розділ 2. Встановлення віртуального тестового сервера 32
LAMP 32
Установка Apache 2 33
Установка PHP 5 33
Установка MySQL і його модулів для PHP 5 34
PhpMyAdmin 35
Форвард портів на маршрутизаторах TP-LINK 35
Резервування адреси 36
Зміна порту веб-управління маршрутизатором 39
Перекидування порту / Відкриття порту 39
Віддалене керування сервером 41
SSH 41
Висновок до Розділу 2 50
Розділ 3. Тестування на надійність в середовищі віртуальної тестової лабораторії 51
Тестування веб-сервера 51
Uniscan 51
Hydra 53
Nikto 54
Joomblascan 57
Nessus 59
VEGA 69
Тестування надійності засобів віддаленого управління 70
ssh_version 71
ssh_login 71
Тестування надійності ОС, що встановлені у віртуальному тестовому середовищі 73
Metasploit 73
Використання вразливості XSS 79
Висновок до Розділу 3. 84
Висновок 85
Список використаних джерел 87
Анотація
Дипломна робота: кількість сторінок – 93, кількість рисунків – 52.
В даній дипломній роботі розглянуто створення віртуальної тестової лабораторії, що дає змогу проводити тестування надійності веб-серверів, та включає в себе встановлення тестового середовища, встановлення об’єктів захисту (ПЗ для розгортання веб-сервера), тестування на проникнення та методи захисту від розглянутих методів проникнення.
Метою роботи є створення гнучкої системи тестування веб-серверів, для їх захисту від несанкціонованого доступу.
Створена система має не лише навчальну, але й практичну цінність: в межах віртуальної тестової лабораторії можна тестувати актуальне ПЗ на віртуальних машинах, а також проводити аудит безпеки реально працюючих серверів.
Ключові слова: віртуальна тестова лабораторія, веб-сервер, несанкціонований доступ, захист від несанкціонованого доступу.
Annotation
Thesis: The number of pages – 93, the number of pictures – 52.
In this thesis work is shown the creation of virtual test lab that enables to test the reliability of веб-servers, and includes the installation of the test environment protection facilities installation (software for deploying веб-server), penetration testing and methods of protection considered methods of penetration.
The aim is to create a flexible system of testing веб-servers to protect them from unauthorized access.
The system is not only educational, but also practical value: within virtual test lab can test the actual software on virtual machines and conduct safety audits actually working servers.
Keywords: virtual test lab, веб-server, unauthorized access, protection against unauthorized access.
Перелік умовних позначень
ПЗ – програмне забезпечення.
ОС – операційна система.
ЕОМ – електронно обчислювальна машина.
ПК – персональний комп’ютер.
СУБД – система управління базами даних.
TCP — один з основних мережевих протоколів Інтернету, призначений для управління передачею даних в мережах і підмережах TCP/IP.
IP – (від англ. Internet Protocol address) — це ідентифікатор (унікальний числовий номер) мережевого рівня, що використовується для адресації комп'ютерів чи пристроїв у мережах, що побудовані з використанням протоколу TCP/IP (наприклад Інтернет).
NAT – (від англ. Network Address Translation — перетворення (трансляція) мережевих адрес) — це механізм зміни мережевої адреси в заголовках IP датаграм, поки вони проходять через маршрутизуючий пристрій з метою відображення одного адресного простору в інший.
WAN – (від англ. Wide Area Network) — комп'ютерна мережа, що охоплює величезні території.
LAN – (від англ. Local Area Network) являє собою об'єднання певного числа комп’ютерів на відносно невеликій території.
DHCP – (від англ. Dynamic Host Configuration Protocol — протокол динамічної конфігурації вузла) — це протокол прикладного рівня, що дозволяє комп'ютерам автоматично одержувати IP-адресу й інші параметри, необхідні для роботи в мережі.
SSH – (від англ. Secure SHell — «безпечна оболонка») — мережевий протокол рівня застосунків, що дозволяє проводити віддалене управління комп'ютером і тунелювання TCP-з'єднань.
FTP – (від англ. File Transfer Protocol, FTP) — дає можливість абоненту обмінюватися двійковими і текстовими файлами з будь-яким комп'ютером мережі, що підтримує протокол FTP.
XST – (від англ. cross-site tracing – міжсайтове трасування) – вразливість системи безпеки, при експлуатації метода HTTP TRACE.
DNS – (від англ. Domain Name System, DNS) — ієрархічна розподілена система перетворення імені хоста (комп'ютера або іншого мережевого пристрою) в IP-адресу.
DDNS – динамічний DNS адрес.
Вступ
Актуальність захисту інформації в останні роки зросла, і причиною цьому висока інформатизація суспільства у всіх сферах його діяльності. Комп’ютери та інша обчислювальна техніка в рази продуктивніше виконує колись скучну та монотонну роботу, дає змогу оптимізувати будь-який процес. У певних сферах ця актуальність чітко виражена та зрозуміла, проте, частіше, побачити причинно-наслідковий зв’язок та оцінити його цінність можна тільки після того, як подія вже сталась.
Інформатизація настільки міцно закріпилась, що процес цей перейшов точку неповернення. Сучасний світ, з його безперервно зростаючим темпом життя, просто не зможе вижити таким, яким він є, без допомоги ЕОМ та інших механізмів швидкого забезпечення потрібної інформації. Ведення бізнесу, розроблення продукції, її реклама та реалізація, надання широкого спектру послуг, провадження автоматизованих систем управління та зрештою зручність для кінцевого користувача – все забезпечується системами по обробці, зберіганні та видачі інформації. І, звісно, найпродуктивніше все працює, при підключенні до всесвітньої мережі Інтернет, що поєднує мільйони ПК з серверами, де й проводяться ці операції.
Захист даних серверів є життєво необхідним. Вони являють собою ключові вузли зв’язку, що мають виділені адреси, до яких одночасно підключені тисячі користувачів Інтернету. При виході їх зі строю, система перестане функціонувати. Проте, гіршим є варіант їх несанкціонованої експлуатації, при якій користувачі самі віддадуть конфіденційну інформацію у руки зловмисника.
Веб-сервери, являють собою звичайні сервери з відповідним ПЗ. Відповідно їх захист майже нічим не відрізняється, проте не втрачає актуальності. Веб-сервер – це ЕОМ, на якій розміщується сайт, на якій він функціонує та до якої доступаються користувачі Інтернету. Можна сказати, що це «фронтенд» Інтернету. Дані сервери потребують спеціального ПЗ, та відповідно конфігурованих ОС. Оскільки специфіка веб-сервера потребує максимально можливої доступності для кінцевого користувача, а також що таких користувачів в кожний конкретний момент часу може бути дуже велика кількість, відповідно налаштувати захист є завжди питанням компромісним.
Наразі в світі щодня розробляють нові ПЗ, ОС, а також різного роду пристрої забезпечення передачі інформації, питання остаточного 100% захисту не вирішиться ніколи. З однієї сторони створення даної продукції виправдано, оскільки з часом змінюються потреби, а також вдосконалюються методи обробки та передачі інформації. Також в старих засобах, з часом, знаходять вразливості, що при їх експлуатації компрометують систему захисту. З іншої, кожний новий продукт, хоча й тестувався, проте реальний стрес-тест буде виконано лише при безпосередній реалізації системи на ринку. Практика показує, що захиститись від всіх багів до моменту випуску неможливо.
Питання гостро стосується веб-серверів, оскільки сайти працюють на так званих двигунах, які хоча й оновлюються, проте залишаються вразливими.
Створення віртуальної тестової лабораторії надає змогу тестування веб та інших серверів, до моменту реалізації системи, для виявлення недоліків на різних етапах створення та введення системи в дію. Також, в умовах тестової лабораторії, є можливість гучного конфігурування різних методів виявлення вразливостей, їх експлуатації та зрештої знешкодження цих вразливостей, для захисту кінцевої системи. Додатково залишена можливість тестування реально працюючих систем, а не тільки віртуальних, що дає змогу підтримки номінальної роботи серверів.