CC BY
5
УДК 004.056
PENTEST - ЛАБОРАТОРИЯ ДЛЯ ОБУЧЕНИЯ СПЕЦИАЛИСТОВ НАПРАВЛЕНИЯ ПОДГОТОВКИ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ*
1 12 В. С. Аверьянов , И. Н. Карцан '
1Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
2Морской гидрофизический институт РАН Российская Федерация, 299011, г. Севастополь, ул. Капитанская, 2 E-mail: averyanov124@mail.ru
Актуальной проблемой безопасной эксплуатации современных информационных систем связи (ИСС) является частичная, а порой полная неосведомленность и некомпетентность действующих сотрудников предприятий и организаций в области информационной безопасности (ИБ). В связи с этим, без сотрудников направления 05.13.19 сегодня уже не могут обойтись коммерческие структуры, ведомственно-отраслевые организации и другие юридические лица. Специалисту в области защиты информации под силу предотвращать утечки критически важной информации, выявлять подлог и компрометацию объектов сетевой инфраструктуры, обучать современным методам и основам в области ИБ собственных сотрудников предприятия, повышая их уровень компетентности.
Ключевые слова: атаки, лаборатория, пентест, передача данных, уязвимости, Kali Linux.
PENTEST - LABORATORY FOR TRAINING SPECIALISTS TRAINING DIRECTIONS INFORMATION SECURITY
V. S. Averyanov1, I. N. Kartsan1,2
1Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation 2Marine Hydrophysical Institute, Russian Academy of Sciences 2, Kapitanskaya Str., Sevastopol, 299011, Russian Federation E-mail: averyanov124@mail.ru
The actual problem of the safe operation of modern information communication systems (ISS) is a partial, and sometimes complete ignorance and incompetence of existing employees of enterprises and organizations in the field of information security (IS). In this regard, commercial structures, departmental and branch organizations and other legal entities can no longer do without the employees of the referral 05.13.19. A specialist in the field of information security can prevent the leakage of critical information, identify fraud and compromise of network infrastructure objects, and teach modern methods and fundamentals in the field of information security of the company's own employees, increasing their level of competence.
Keywords: attacks, laboratory, pentest, data transfer, vulnerabilities, Kali Linux.
Введение. Ввиду стремительного развития сферы информационных технологий, низкого уровня осведомленности и подготовки специалистов, число киберпреступлений и утечек критически важных данных неуклонно растёт [1]. В тоже время технологии, составляющие
* Работа выполнена в рамках государственного задания по теме № 0827-2019-0004.
Секция «Информационнаябезопасность»
основу цифровизации, глубоко проникли во многие сферы деятельности предприятий и организаций. В подобных условиях высшие учебные заведения, осуществляющие подготовку специалистов по направлению 10.06.01 (Информационная безопасность), должны быть готовы к организации образовательного процесса, реализуя подход обучения в части умений и навыков с применением лабораторных практикумов по профильным дисциплинам. Подобный подход обеспечит максимальное усвоение практических навыков и методов тестирования на проникновение в информационно-телекоммуникационные сети связи, повысит качество обучения будущих специалистов по защите информации (ЗИ), а приобретенные навыки позволят уже будущим готовым специалистам в дальнейшем без особого труда оценить общий уровень защищенности /Т-структуры [4] практически любой организации. Дополнительные требования при этом необходимо предъявлять к студентам по целевому набору, чья деятельность после окончания высшего учебного заведения будет тесно связана с государственным сектором экономики. В связи с этим специалисты в области защиты информации должны знать природу возникновения уязвимостей систем связи уметь проектировать и внедрять системы защиты стратегически важной информации для обеспечения высокого уровня обороноспособности страны, формировать и вести секретное делопроизводство, противодействовать методам иностранных технических разведок по принципу «Black box» [2].
Основная часть. Целью исследования является предложение по созданию Pentest-лаборатории, с обоснованием условий ее функционирования, наличия основного, вспомогательного оборудования и программного обеспечения на кафедрах Вузов, занимающихся подготовкой специалистов в области ИБ.
Среди общих вопросов и задач, которые возможно реализовать практически с помощью подобной специализированной лаборатории, следует отметить:
• изучение и апробация средств анализа и управления уязвимостями ИСС;
• использование программно-аппаратных систем обнаружения вторжений;
• командное взаимодействие при проведении тестирований на проникновение;
• методы анализа вредоносной активности, инструментарий Kali Linux: выявление и нейтрализация уязвимостей;
• методология расследований инцидентов ИБ;
• проведение учебных атак и методы их противодействия;
• системы обработки и сети передачи данных при тестировании на проникновение.
Программно-аппаратной основой для создания Pentest-лаборатории взято четвертое
поколение одноплатных компьютеров Raspberry Pi 4 model B. Подобные изделия широко применяются в процессах автоматизации производства, создании мини серверов и построении систем безопасности. Данная модель, интерфейсы которой представлены на рисунке, включает в себя высокопроизводительный четырёхядерный 64-разрядный процессор Cortex A 72, до 4 ГБ оперативной памяти, двухдиапазонный беспроводной Lan 2.4/5.0 ГГц, Bluetooth 5.0, Gigabit Ethernet, USB 3.0 и PoE (через дополнение PoE HAT). Выбор этой модели обусловлен тем, что по сравнению с моделью 2016 года Raspberry Pi 3 model B, новое поколение значительно увеличило скорость процессора с 1.2 ГГц до 1.5 ГГц, производительность мультимедиа, расширение памяти устройства и upgrade интерфейсов для внешних подключений. Так, в новом Raspberry Pi 4 помимо двух портов USB 2.0, имеются еще два порта USB 3.0, что позволяет производить обмен данными в десятки раз быстрее.
В качестве операционной системы для Raspberry Pi 4 предложено использовать бесплатный программный продукт Kali Linux, основа которого дистрибутив Debian. Подобное платформенное решение идеально подходит для проведения тестов на проникновение в ИСС и содержит весь необходимый для тестирования инструментарий.
GPIO Т
Интерфейсы платформы Broadcom BCM2711 [5]
В процессе обучения и выполнения задач лабораторного практикума, в который будут включены все известные направления современных атак на ИСС, студенты в полной мере ознакомятся с функционалом таких важных утилит как nmap, metasploit, nessus, THC hydra, wireshark и другие. Так, например, обучающиеся по курсу: «Цифровые сети и системы безопасной передачи данных» будут разделены на несколько групп, действия каждой из которых сопоставимы с действиями внешнего и внутреннего нарушителя, а также служб в области ИБ. При этом в интересы одной из групп будет включен учебный алгоритм поиска и реализации уязвимостей систем связи предприятий и организаций, а действия оппонентов будут направлены на противостояние атакам и общей оценке уровня защищенности информационной системы. Включение Pentes-лаборатории в образовательный процесс позволит студентам изучить природу возникновения уязвимостей, инструментарий для безопасной эксплуатации информационно-телекоммуникационных систем связи, а также способы противодействия современным узконаправленным атакам.
Заключение. Таким образом, решение обозначенных проблем возможно лишь путем комплексного подхода. Современные вузы по подготовке специалистов [3] в области ИБ должны иметь оборудованные Pentest-лаборатории, а будущие дипломированные специалисты по защите информации обязаны быть не просто технически подкованными в области ИБ, но и хорошо разбираться в вопросах обеспечения кибербезопасности.
Библиографические ссылки
1. Аверьянов B.C., Карцан И.Н. Гибридный квантово-классический подход для защиты наземных линий связи // Южно-Сибирский научный вестник. 2019. Т.4 (28). С. 264-269.
2. Андрианов В.И., Романов Г.Г., Штеренберг С.И. Экспертные системы в области информационной безопасности // IV Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (АПИНО). 2015. Т .1. С. 193-197.
3. Данильченко Ю.В., Аверьянов B.C. Проблемы информационно - экономической безопасности вуза в условиях цифровизации // Решетневские чтения. 2019. Т. 2. C. 420-422.
4. Информационная безопасность в мире цифровой экономики [Электронный ресурс]. URL: https://iecp.ru/articles/item/411822-proyekt-informatsion-naya-bezopasnost-v-mire-tsifrovoy-ekonomiki (дата обращения: 28.02.2020).
5. Raspberry Pi Hardware // Rasppbery Pi. URL: https: www.raspberrypi.org/documentation/ hardware/ (дата обращения 28.02.2020).
© Аверьянов В. С., Карцан И. Н., 2020
