Penetration Test Nedir? (1 Viewer)

Joined
Nov 8, 2018
Credits
4
Rating - 0%
Penetration Test Nedir?

Penetration Test'in bizdeki anlamı "Sızma Testi"'dir. Penetration Test'in
amacı herhangi bir sistemde var olan açığı bulmak, olan açığı sömürmek ve
raporlamaktır. Sızma testleri her ne kadar geniş olsa da elbette "Penetration
Tester" dediğimiz kişilerin de kendi çalışma alanları vardır. Yani kimi "Web
Uygulama Sızma Testi" yapar kimi de "Network Sızma Testi" yapar.
Anlayacağınız üzere Penetration Test çoğul bir kavramdır.

Sızma testlerinde testi yapan (Kişi, Firma) bir saldırganın gözünden olaylara
bakar. Yani bir saldırganmış gibi sistemi test eder, açıkları listeler ve exploit
etme aşamasına gider. Son olarak da Rapor yazılır ve test yapılan firmaya teslim
edilir. Elbette Raporların da çeşitleri vardır. Örnek olarak, yöneticiye ayrı rapor,
çalışanlara ayrı raporlar sunulur. Bu Testi yapan firmaya ya da test yapılan
firmaya bağlı olabiliyor.


Penetration Test aslinda "Vulnerability Assessment” kavramıyla birlikte
işler. Vulnerability Assessment sistemdeki açıkların bulunmasını hedefler. Bunlar
da genel olarak test araçlarıyla gerçekleştirilir. Hepsi bir araya geldiğinde
Penetration Test döngüsü ortaya çıkar.

Penetration Test yapan firma, testi yapacağı firmaya göre strateji geliştirir.
Bunun sonucunda ne tür bir test stratejisiyle devam edeceği belli olur.

Örnek verecek olursak;

Firmadaki yazılımlar
Ağ alt yapısı
Tüm sistem alt yapısı

gibi stratejiler oluşturulur. Bunlar konuşulur planlar yapılır ve belli bir süre
zarfında sistemler test edilir. Firmanın alacağı riskler, yapacağı testlerin
zararlarını üstlenip üstlenmeyeceği, veri kaybı olması durumunda testi yapar
firmanın sorumluluk almayacağı gibi meseleler konuşulmalıdır. Elbette
yapılacak test çeşidine göre de stratejiler değişir.

Günümüzde genel olarak yapılan Sızma Testleri şunlardır;

• Network Sızma Testleri
• Wireless Sızma Testleri
• Ddos Saldırı Denemeleri
• Web Uygulama Sızma Testleri
• Sosyal Mühendislik Sızma Testleri
• Mobil Sızma Testleri
• Voip Sızma Testleri
• Lan Sızma Testleri

Görüldüğü gibi birçok test çeşidi mevcut. Firma veya kişisel küçük kurumlar
bunlardan dilediğini test yapan bir firmaya yaptırabilir.

Penetration Test, kısaca Pentest oldukça önemlidir. Firmalar artık yeni yeni
Pentest kavramını öğrenip, bilinçlenip testlerini yaptırıyorlar. Bu konuda
çalışmalar sürse de firmaların bu konuda bilinçlenmesini sağlamak biz güvenlik
uzmanları için önemlidir.

Penetration Test işleminde genel olarak izlenmesi gereken yollar vardır.

• Keşif
• Host Keşfi
• Bilgi Toplama (Aktif, Pasif)
• Port Tarama
• Ağ Analizi
• Vulnerability Assessment
• Exploiting
• Yetki Yükseltme
• Sistemde llerleme
• Raporlama

gibi basit yollar izlenebilir. Daha öncede dediğim gibi bunlar değişkenlik gösterebilir.


firmanın in bu testleri hangi zaman aralıklarında veya sıklıkla yaptıracakları da
tartışmasız önemlidir. Gün geçtikçe yenilenen uygulamalar, kurulan yazılımlar,
yapılandırılan ağ ayarları gibi değişiklikler ve yenilikler ile yeni zaafiyetler
ortaya cikabilir. Bu sebepten dolayı firma belli sıklıklarla sızma testi hizmeti
almak mecburiyetinde kalabiliyor.



Penetration Test'in çeşitleri vardır.
• Siyah Kutu
• Beyaz Kutu
• Gri Kutu
olmak üzere 3'e ayrılır.

SİYAH KUTU

Siyah kutuda test yapılacak firma ve sistem hakkında herhangi bir bilgi sahibi
olunmadan test gerçekleştirilir. Yani bir Hacker gözünden sistemde zaafiyet
aranır ve sisteme giriş sağlanır.

BEYAZ KUTU

Bu testte firma, test yapacak firma ile birçok bilgi paylaşır ve buna göre işlemler
gerçekleştirilir. Genel olarak bunun nedeni firmada çalışan veya önceden
çalışmış olan kişilerin yapabileceği saldırılar gözlemlenir ve ne tür kayıplar
verebilecekleri tespit edilir.

Gri Kutu

Gri kutu sızma testi, beyaz ile siyah kutu karışımı bir test diyebiliriz. En belirgin
farkı ise beyaz kutudaki gibi firma detaylı bilgi vermez. Bu test düşük rütbedeki
kişilerin vereceği zararları gözlemlemek amacıyla yaptırılmaktadır.

Penetration Test işlemlerinde en çok kullanılan dağıtım Kali Linux'tur. Kali
Linux bilindiği gibi icerisinde birçok araç barındırır. Büyük firmalar dahil
cogunluk Kali Linux içerisindeki araçları kullanmaktadır.

Kali Linux bu sayede Penetration Test işlemlerini 1 adım ileri taşımaktadır.


Makaleyi İndir : PDF Olarak İndir
 
Last edited:

Users who are viewing this thread

Top