Έλεγχος διεισδυτικότητας και εκτίμηση τρωτότητας συστημάτων με τη χρήση του Metasploit Framework.

Abstract

Σε αυτή την πτυχιακή εργασία θα εξεταστούν αναλυτικά οι λειτουργίες, τα βασικά συστατικά και η διαχείριση του Metasploit Framework, με βασικό στόχο τις δοκιμές διείσδυσης και την εκτίμηση τρωτότητας δικτύων και υπολογιστικών συστημάτων. Επίσης θα δωθούν παραδείγματα από την οπτική γωνία ενός «Penetration Tester», για το πώς χρησιμοποιούνται τα παράπανω σε έναν έλεγχο ασφαλείας, χρησιμοποιώντας το Metasploit Framework. Με τους όρους «έλεγχος ασφαλείας», «δοκιμές διείσδυσης» και «εκτίμηση τρωτότητας», εννοείται η εξέταση και δοκιμή των μέτρων και της πολιτικής ασφαλείας ενός δικτύου ή ενός συστήματος κάποιου οργανισμού και η δυνατότητα του να αντιμετωπίζει και να ανταπεξέρχεται σε τυχόν απειλές. Έπίσης, εφόσον υπάρχουν κενά ασφαλείας, πως μπορεί κάποιος να τα εκμεταλευτεί με την πρόθεση να προκαλέσει σοβαρά προβλήματα στο σύστημα. Αυτό αποβλέπει στην ενθορύβηση του κοινού με έμφαση στη βελτίωση της ασφάλειας του, τη δημιουργία πλάνων για την αποφυγή προβλημάτων, την εξέταση τρόπων διασφάλισης των δεδομένων των χρηστών και εν κατακλείδι την εκπαίδευση των χρηστών του δικτύου ή του συστήματος να ακολουθούν τις απαραίτητες πολιτικές ασφαλείας.

In this thesis, the features, the fundamentals and the management of the Metasploit Framework will be examined, with the final goal being penetration testing and vulnerability assessment of networks and copmuter systems. Also there will be examples from the perspective of the penetration tester, on how to use the above on a security check, while using the Metasploit Framework. With the terms "security check", "penetration testing" and "vulnerability assessment", I mean the examination and testing of the security measures and police of a network or a system of some organisation and its ability to counter and withstand this kind of threats. Also, as long as there are potential security holes, how could someone benefit from them with the intention of gaining access to and causing serious damage to the system. This has as ultimate goal to notify the broad audience with emphasis on the improvment of its security, the creation of risk avoidance plans, the examination of ways to secure data and in conclusion the education of the network or system users to follow the necessary security polices.