পেনেট্রেশন টেস্ট

উইকিপিডিয়া, মুক্ত বিশ্বকোষ থেকে
পরিভ্রমণে ঝাঁপ দিন অনুসন্ধানে ঝাঁপ দিন

পেনেট্রেশন টেস্ট, পেন টেস্ট, (ইংরেজি: Penetration Test), হলো সিস্টেমের নিরাপত্তা যাচাই করতে কোন কম্পিউটার সিস্টেমের উপর অনুমোদিত কৃত্রিম আক্রমণ। এমন পরীক্ষায় পরিপূর্ণ যথাসম্ভব ঝুঁকি মূল্যায়নের মাধ্যমে একটি সিস্টেমের দূর্বলতা ও শক্তি দুটোই চিহ্নিত করা হয়।

এ প্রক্রিয়ায় সাধারণত লক্ষ্যের সিস্টেম ও নির্দিষ্ট গোলকে নির্বাচন করে, তারপর প্রাপ্ত তথ্যকে পর্যালোচনা ও লক্ষ্যার্জনে বিভিন্ন পদক্ষেপ গ্রহণ করা হয়। হোয়াইট বক্স ও ব্ল্যাক বক্স নামক দুধরণের আক্রমণ হতে পারে, যেখানে হোয়াইট বক্সে সিস্টেম সম্পর্কে পর্যাপ্ত তথ্য প্রদান করা হয়, অন্যদিকে ব্ল্যাক বক্সে শুধুমাত্র প্রাথমিক তথ্য বা কোন তথ্যই প্রদান করা হয় না। কোন আক্রমণ থেকে সিস্টেমটি সুরক্ষিত কি না তাতে পেনেট্রেশন টেস্ট সাহায্য করে, এবং সুরক্ষিত না হলে প্রতিরোধের ব্যবস্থা গ্রহণ করা হয়। [১]

পেনেট্রেশন টেস্টে পাওয়া নিরাপত্তা ইশুগুলো সিস্টেমের মালিকের কাছে রিপোর্ট করা হয়।[২] পেনেট্রেশন টেস্ট প্রতিবেদনে অর্গানাইজেশনের উপর সাম্ভাব্য আঘাত ও এবং হামলা প্রতিরোধী পরামর্শ প্রদান করে।

পেনেট্রেশন টেস্টের গোল অনুমোদিত কার্যক্রমের উপর ভিত্তি করে পরিবর্তিত হয়।[৩] পেনেট্রেশন টেস্ট পূর্ণ সিকিউরিটি অডিটের একটি অংশ। উদাহরণস্বরূপ, পেমেন্ট কার্ড ইন্ডাস্ট্রি ডাটা সিকিউরিটি স্ট্যান্ডার্ডের নিয়মিত সময়সূচিতে পেনেট্রেশন টেস্টিং করা উচিত।[৪]

টুলস[সম্পাদনা]

পেনেট্রেশন টেস্টের জন্যে বিস্তৃত পরিমাণের নিরাপত্তা মূল্যায়ন টুল রয়েছে, যার মধ্যে ফ্রি ও বাণিজ্যিক সফটওয়্যার দুধরণেরই রয়েছে।

বিশেষ অপারেটিং সিস্টেম ডিস্ট্রো[সম্পাদনা]

পেনেট্রেশন টেস্টের উপযোগী অনেকগুলো অপারেটিং সিস্টেম ডিস্ট্রিবিউশন রয়েছে।[৫] এমন ডিস্ট্রিবিউশনগুলো সাধারণত প্রাক-প্যাকেজকৃত ও অরাক-কনফিগারকৃত টুলের সেট থাকে। পেনেট্রেশন টেস্টারের সবগুলো আলাদা আলাদা টুল খুঁজে নিতে হয় না, যেটা কম্পাইল এরোর, ডিপেন্ডেন্সি ইশু, কনফিগারেশন ইশু, কনফিগারেশন ইশুর মত জটিলতা বাড়াতে পারে।

উল্লেখযোগ্য পেনেট্রেশন টেস্টিং অপারেটিং সিস্টেমের উদাহরণ হলো:

পেনেট্রেশন টেস্টকে সহজতর করতে অনেকগুলো আলাদা আলাদা বিশেষ অপারেটিং সিস্টেম রয়েছে, আলাদা আলাদা ক্ষেত্রের জন্যে।

সফটওয়্যার ফ্রেমওয়ার্ক[সম্পাদনা]

  • বার্প স্যুট
  • মেটাস্পলেয়েট প্রকল্প
  • এনম্যাপ
  • ওউসাপ জ্যাপ
  • ডব্লিউথ্রিএএপ

ধাপ[সম্পাদনা]

পেনেট্রেশন টেস্ট প্রক্রিয়ার পাঁচটি ধাপ রয়েছে:

১) প্রাথমিক নিরীক্ষণ - লক্ষ্যবস্তু সম্পর্কে প্রয়োজনীয় তথ্য সংগ্রহ। ভাল আক্রমণের কাজে এ তথ্য সহায়তা করে। উদাহরণস্বরূপ, ওপেন সোর্স সার্চ ইঞ্জিন ব্যবহার করে সোশ্যাল ইঞ্জিনিয়ারিং এর কাজে ব্যবহৃত তথ্য সংগ্রহ করা হয়।

২) নির্ণয় করা - টেকনিক্যাল টুল ব্যবিহার করে আক্রমণকারীর সিস্টেম সম্পর্কে জ্ঞান বাড়ায়। যেমন, এনম্যাপ বা নেটওয়ার্ক ম্যাপিং ওপেন পোর্ট স্ক্যান করতে ব্যবহৃত হয়।

৩) প্রবেশাধিকার অর্জন - প্রাথমিক নিরীক্ষণ ও স্ক্যানিং ধাপে সংগৃহীত তথ্য ব্যবহার করে, আক্রমণকারী লক্ষ্যবস্তু অর্জনের জন্যে পেলোড ব্যবহার করতে পারে। যেমন— জ্ঞাত দূর্বলতার জন্যে মেটাস্পলেয়েট ব্যবিহার করা হয়।

৪) প্রবেশাধিকার বহাল রাখা - প্রবেশাধিকার বহাল রাখার জন্যে কিছু পদক্ষেপের প্রয়োজন হয়, যাতে করে লক্ষ্যবস্তুর অভ্যন্তরে থেকে যতটুকু ডাটা সম্ভব সংগ্রহ করা।

৫) পদচিহ্ন মুছে ফেলা - আক্রমণকারী অবশ্যই নিজেকে অজ্ঞাত রাখতে আক্রান্ত সিস্টেমে রাখা সমস্ত চিহ্ন, লগ ও ডাটা মুছতে হবে।[৬]

একবার আক্রমণকারী কোন দুর্বলতা খুঁজে ফেলে, তারা অন্যান্য যন্ত্রেও প্রবেশ করতে পারে, যাতে প্রক্রিয়াটির পুনরাবৃত্তি হয়। এ প্রক্রিয়া পিভোটিং নামে পরিচিত।

তথ্যসূত্র[সম্পাদনা]

  1. "Penetration Testing: Assessing Your Overall Security Before Attackers Do"। SANS Institute। সংগ্রহের তারিখ ১৬ জানুয়ারি ২০১৪ 
  2. "Writing a Penetration Testing Report"। SANS Institute। সংগ্রহের তারিখ ১২ জানুয়ারি ২০১৫ 
  3. Patrick Engebretson, The basics of hacking and penetration testing ওয়েব্যাক মেশিনে আর্কাইভকৃত ৪ জানুয়ারি ২০১৭ তারিখে, Elsevier, 2013
  4. Alan Calder and Geraint Williams। PCI DSS: A Pocket Guide, 3rd Editionআইএসবিএন 978-1-84928-554-4network vulnerability scans at least quarterly and after any significant change in the network 
  5. Faircloth, Jeremy (২০১১)। "Chapter 1:Tools of the Trade"। Penetration Tester's Open Source Toolkit (PDF) (Third সংস্করণ)। Elsevierআইএসবিএন 1597496278। সংগ্রহের তারিখ ৪ জানুয়ারি ২০১৮ [যাচাই করার জন্য উদ্ধৃতি প্রয়োজন]
  6. "Summarizing The Five Phases of Penetration Testing - Cybrary"Cybrary। ২০১৫-০৫-০৬। সংগ্রহের তারিখ ২০১৮-০৬-২৫