- •1. Сучасне розуміння етичного хакінгу;
- •2. Основні етапи проведення етичного хакінгу;
- •3. Методологія проведення аудиту безпеки;
- •4. Пасивний і активний збір інформації;
- •5. Сканування системи.
- •7.Схема аудиту інформаційної системи;
- •8.Аудіт безпеки інформаційної системи;
- •10. Законное проведення аудиту;
- •11. Актівний і пасивний збір інформації (Відкриті джерела, Sniffing, tcp / ip утиліти, журнали аудиту цільової системи - log файли і т.Д.);
- •12. Сканування системи (сканування відкритих портів, моніторинг по протоколу snmp, icmp сканування т.Д.);
- •1.2 Моніторинг по протоколу snmp, icmp
- •13. Отримання доступу в систему (Експлуатація вразливостей iis, перехоплення сесії, переповнення буфера, відмова від обслуговування тощо);
- •14. Закріплення в системі (Трояни, Руткіти, Back Doors т.Д.);
- •15. Знищення слідів перебування в системі;
- •17.Бездротові пентести та їх сценарії;
- •18.Атаки на бездротові мережі;
- •19. Бездротові мережи;
- •20. Основи побудови технології Wi-Fi;
- •21. Ос Каli Linux та її особливості;
- •22. Проведення пентестів бездротових мереж засобами Kali Linux.
- •23. Різновиди vpn;
- •24. Особливості tor та Proxy;
- •26. Вибір обладнання та програмного забезпечення;
- •27. Основні сертифікати безпеки;
- •28. Порти для pptp, l2tp, sstp;
- •29. Особливості протоколу l2tp/iPsec;
- •30. Особливості налаштування vpn та Open vpn під Windows та Linux/Ubuntu.
- •31. Яке налаштування програми є оптимальною?
- •32. Роль Xpath та Regex виразів?
- •33. Які web ресурси web - парсингу/скрайпінгу ви знаєте? Порівняйте їх особливості.
26. Вибір обладнання та програмного забезпечення;
Сервер VPN (Virtual Private Network) використовується для організації віддаленої роботи і доступу співробітників, які підключаються до корпоративної мережі через інтернет-з'єднання. VPN відповідає за створення приватного каналу між сервером і клієнтом, де кожен клієнт використовує для авторизації унікальну комбінацію логіна і пароля. Після перевірки їх достовірності і коректності IP-адреси клієнт потрапляє в локальну мережу підприємства і отримує доступ до її ресурсів - файловому, поштової та інших серверів. Технологія VPN використовується компаніями для створення захищених каналів передачі даних між головним офісом і територіально віддаленими філіями.
Як вибрати VPN-сервер
VPN-сервер не займається складними обчисленнями і не зберігає великі обсяги даних. Все, що він робить - це підтверджує, що введені користувачем дані є в його базі. Так як ця база має відносно скромні розміри, для організації роботи VPN-сервера підійде обладнання початкового рівня. У цій категорії представлені недорогі одноюнітові одно- або двопроцесорні сервери.
Устаткування для організації VPN-сервера
У провідних виробників можна знайти кілька моделей обладнання, яке впорається із завданнями VPN-сервера і при цьому не буде надмірною.
HP ProLiant DL20 Gen9. Компактний сервер з високою щільністю розміщення. Легко налаштовується під різні бізнес-потреби. Підтримує недорогі накопичувачі для малих робочих навантажень.
Dell PowerEdge R230. Універсальний сервер початкового рівня. Підтримує швидке розгортання, скорочує час відгуку і дозволяє консолідувати дані декількох робочих машин.
Fujitsu PRIMERGY RX2510 M2. Компактний, зручний в управлінні і енергоефективний сервер універсального призначення. Має високу пропускну здатність, підтримує функції резервування для максимального часу безперебійної роботи.
В якості альтернативи на підприємствах налаштовують VPN на мережевому обладнанні - наприклад, на маршрутизаторах.
Інженери компанії ITELON запропонують вам оптимальний варіант налаштування VPN-сервера і введуть його в експлуатацію.
Oсобливості:
Захищений канал передачі даних.
Сувора система ідентифікації клієнтів.
Низькі вимоги до обчислювальної потужності.
27. Основні сертифікати безпеки;
CISA / CISM
CISA і CISM - це дві основні акредитації, що видаються Асоціацією ISACA (Information Systems Audit and Control Association) – Міжнародної асоціації, яка займається сертифікацією і методологією з 1967 року і налічує в своїх рядах понад 95 000 членів.
CISM (Certified Information Systems Manager) з'явилася пізніше, ніж CISA, і пропонує акредитацію в знанні і досвіді управління IT-безпекою.
CISM пропонує основні стандарти компетенції та професійного розвитку, якими повинен володіти директор з IT-безпеки, щоб розробити і управляти води IT-безпеки.
CISSP
Сертифікат Certified Information Systems Security Professional (CISSP), що видається ISC, — це один з найцінніших сертифікатів в галузі. Такі організації, як АНБ або Міністерство оборони США використовують його в якості еталону.
Сертифікат також відомий як "в милю шириною і дюйм глибиною", тобто вказує на ширину відомий (в милі), які перевіряються в рамках іспиту, а також на те, що багато питань не зачіпають витончених подробиць концепцій (тільки в дюйм глибиною).
COBIT
COBIT 5 (остання протестована версія) визначається як відправна точка, яка використовується урядовими установами та підприємствами для IT-управління. Управляється Асоціацією ISACA спільно з IT Governance Institute.
COBIT розроблений таким чином, щоб адаптуватися для підприємств будь-якого розміру з різними бізнес-моделями і корпоративною культурою. Его стандарти застосовуються в таких сферах, як інформаційна безпека, управління ризиками або прийняття рішень щодо хмарних обчислень.
ITIL
ITIL (IT Infrastructure Library) можна описати як приклад належної практики і рекомендацій для адміністрування IT-сервісами з фокусом на адмініструванні процесами. Керує цим сертифікатом OGC (Office of government Commerce) у Великобританії.
У той час як COBITS працює в питаннях управління і стандартизації підприємства, ITIL сконцентрований на процесах, тобто COBIT визначає «що», а ITIL – «як».
ISO / IEC 27000
Стандарт, опублікований міжнародною організацією з сертифікації ISO та міжнародною електротехнічною комісією IEC, виступає в якості відправної точки для групи стандартів, що забезпечують основи управління IT-безпекою, які можуть використовуватися будь-яким типом організацій (некомерційні, державні, приватні, великі або маленькі).
На відміну від інших сертифікатів, які призначені для фізичних осіб, цей сертифікат в першу чергу розрахований для підприємств.