2.3 Klasifikacija penetracijskog ispitivanja

Penetracijsko ispitivanje klasificira se prema različitim kriterijima koji su specifični za svako pojedino penetracijsko ispitivanje. Penetracijski ispitivanje može se klasificirati prema 6 osnovnih kriterija, a to su:

• penetracijsko ispitivanje prema bazi raspoloživih informacija,
• penetracijsko ispitivanje prema agresivnosti,
• penetracijsko ispitivanje prema opsegu skeniranja,
• penetracijsko ispitivanje prema pristupu skeniranja,
• penetracijsko ispitivanje prema tehnici skeniranja i
• penetracijsko ispitivanje prema početnoj točci skeniranja. [8]

2.3.1 Penetracijsko ispitivanje prema bazi raspoloživih informacija

Penetracijsko ispitivanje može se klasificirati prema količini podataka s kojima penetracijski ispitivač raspolaže prije samog provođenja ispitivanja. Prema bazi raspoloživih informacija o sustavu koji se ispituje penetracijsko ispitivanje dijeli se na:

• penetracijsko ispitivanje bez informacija (engl. black box penetration testing) i
• penetracijsko ispitivanje sa svim informacijama (engl. white box penetration testing). [8]

Kod penetracijskog ispitivanja bez informacija penetracijski ispitivač ne raspolaže s nikakvim informacijama o sustavu koji se ispituje. Penetracijski ispitivač posjeduje samo ime organizacije ili možda samo IP adresu Web poslužitelja organizacije. Ovakvim penetracijskim ispitivanjem simulira se stvarni napad kakav bi izveo i stvarni napadač.

Kod penetracijskog ispitivanja sa svim informacijama penetracijski ispitivač raspolaže sa svim potrebnim informacijama o sustavu koji se ispituje. Sva dokumentacija o sustavu pribavlja se od same organizacije koja je vlasnik ispitivanog sustava. Ovakvim penetracijskim ispitivanjem simulira se napad iznutra kakav bi mogao provesti netko od zaposlenika organizacije.

2.3.2 Penetracijsko ispitivanje prema agresivnosti

Penetracijsko ispitivanje može se klasificirati i prema agresivnosti izvođenja. Agresivnost se odnosi na način iskorištavanja pronađenog sigurnosnog propusta. Prema agresivnosti penetracijsko ispitivanje dijeli se na:

• pasivno penetracijsko ispitivanje,
• oprezno penetracijsko ispitivanje,
• proračunato penetracijsko ispitivanje i
• agresivno penetracijsko ispitivanje. [8]

Kod pasivnog penetracijskog ispitivanja pronađeni sigurnosni propusti ne pokušavaju se iskoristiti. Svi pronađeni propusti samo se dokumentiraju i stavljaju se u završno izvješće.

Kod opreznog penetracijskog ispitivanja pronađeni sigurnosni propusti iskorištavaju se samo ako penetracijski ispitivač zaključi da to nije opasno za ranjivi sustav. Npr. pokušava se pristupiti direktorijima na Web poslužitelju ili se koriste dobro poznate lozinke (engl. default passwords) za upad u sustav.

Kod proračunatog penetracijskog ispitivanja iskorištavaju se pronađeni sigurnosti propusti. Iskorištavaju se samo poznati sigurnosni propusti izvođenjem već napisanih exploita. Prije pokretanja exploita penetracijski ispitivač procjenjuje hoće li izvođenje exploita biti uspješno i kakav će to utjecaj imati na sam sustav. Tijekom ovog penetracijskog ispitivanja koriste se i razni alati za automatsko pronalaženje lozinki.

Kod agresivnog penetracijskog ispitivanja pokušavaju se iskoristiti svi pronađeni sigurnosni propusti, neovisno o tome kakav će to utjecaj imati na sustav. Tijekom izvođenja ovog tipa penetracijskog ispitivanja može doći do izvođenja napada uskraćivanja usluga (engl. Denial of Service – DoS).

2.3.3 Penetracijsko ispitivanje prema opsegu skeniranja

Penetracijsko ispitivanje može se klasificirati i prema raspoloživom opsegu skeniranja. Opseg penetracijskog ispitivanja direktno utječe i na vrijeme izvođenja ispitivanja. Prema opsegu skeniranja penetracijsko ispitivanje dijeli se na:

• fokusirano penetracijsko ispitivanje,
• limitirano penetracijsko ispitivanje i
• cjelovito penetracijsko ispitivanje. [8]

Fokusirano penetracijsko ispitivanje koristi se za fokusirano ispitivanje samo određenog raspona IP adresa, samo jednog sustava ili servisa. Provođenje ovakvog penetracijskog ispitivanja daje informacije samo o sustavima koji su se ispitivali, ne dobiva se potpuna sigurnosna slika cijele organizacije.

U limitiranom penetracijskom ispitivanju ispituje se samo limitirani broj sustava ili servisa. Npr. ispituju se samo računala unutar demilitarizirane zone (engl. demilitarized zone – DMZ).

Cjelovito penetracijsko ispitivanje provodi se na svim sustavima organizacije i daje potpunu sigurnosnu sliku čitave organizacije.

2.3.4 Penetracijsko ispitivanje prema pristupu skeniranja

Penetracijsko ispitivanje može se klasificirati i prema pristupu skeniranja, odnosno prema prikrivenosti penetracijskog ispitivača. Penetracijsko ispitivanje prema pristupu skeniranja dijeli se na:

• skriveno penetracijsko ispitivanje i
• otvoreno penetracijsko ispitivanje. [8]

Kod skrivenog penetracijskog ispitivanja koriste se samo metode koje se ne mogu identificirati kao napad, te tako penetracijski ispitivač ostaje sakriven.

Kod otvorenog penetracijskog ispitivanja penetracijski ispitivač koristi se svim raspoloživim metodama. U nekim slučajevima, kod penetracijskog ispitivanja sa svim informacijama, i informatičko osoblje same organizacije može sudjelovati u ovakvom tipu penetracijskog ispitivanja, kako bi se prije došlo do bitnih otkrića.

2.3.5 Penetracijsko ispitivanje prema tehnici skeniranja

Penetracijsko ispitivanje može se klasificirati i prema tehnici skeniranja. Prema tehnici skeniranja penetracijsko ispitivanje dijeli se na:

• penetracijsko ispitivanje orijentirano na računalne mreže,
• penetracijsko ispitivanje orijentirano na ostale načine komunikacije,
• fizičko penetracijsko ispitivanje i
• socijalni inženjering. [8]

Penetracijsko ispitivanje koje je orijentirano na računalne mreže je standardan način izvođenja penetracijskog ispitivanja sigurnosti u računalnim sustavima. Ispituje se mrežna infrastruktura organizacije i sva računala na njoj. Za skeniranje koristi se TCP/IP (Transmission Control Protocol / Internet Protocol) protokol.

Penetracijsko ispitivanje orijentirano na ostale načine komunikacije koristi se za ispitivanje ostalih načina komunikacije unutar organizacije. Ispituju se telekomunikacijske mreže, različite bežične mreže za komunikaciju (npr. bluetooth) i sl.

Fizičkim penetracijskim ispitivanjem ispituje se fizička sigurnost organizacije.

Socijalni inženjering koristi se za iskorištavanje sigurnosne neosviještenosti zaposlenika organizacije. Može se koristiti kao dobra metoda za utvrđivanje sigurnosne osviještenosti zaposlenika organizacije, te kao pokazatelj da li se unutar organizacije poštuje i provodi sigurnosna politika organizacije.

2.3.6 Penetracijsko ispitivanje prema početnoj točci skeniranja

Penetracijsko ispitivanje može se klasificirati i prema početnoj točci skeniranja sustava, odnosno prema mjestu od kuda se provodi ispitivanje. Prema početnoj točci penetracijsko ispitivanje dijeli se na:

• vanjsko penetracijsko ispitivanje i
• unutrašnje penetracijsko ispitivanje. [8]

Vanjsko penetracijsko ispitivanje vrši se preko Interneta. Penetracijski ispitivač nalazi se na udaljenoj lokaciji i sa te lokacije ispituje sustav organizacije. S ovim penetracijskim ispitivanjem skeniraju se sustavi koji su pristupačni preko Interneta. Rezultat penetracijskog ispitivanja daje dobru procjenu stanja sigurnosti sustava kojima se može pristupiti izvana. Ovakav pristup obično koristi i stvarni napadač.

Unutrašnje penetracijsko ispitivanje koristi se za ispitivanje unutrašnje mrežne infrastrukture organizacije. Provođenjem ovog penetracijskog ispitivanja može se utvrditi što bi se dogodilo i kakav bi utjecaj imalo na samu organizaciju kada bi napadač došao do neautoriziranog pristupa unutrašnjoj mrežnoj infrastrukturi.