SlideShare a Scribd company logo

Pentest Report Sample

T
Training center "Echelon"
1 of 11
Отчет о результатах тестирования на возможность несанкционированного проникновения в корпоративную сеть компании “Компания” Настоящий документ представляет собой фрагменты отчета, подготавливаемого по результатам тестирования на возможность проникновения. Структура отчета и степень детализации согласуются с клиентом. Москва 2010
Содержание 1Резюме для руководства...............................................................................................3 2Границы проекта............................................................................................................4 3Наш подход.....................................................................................................................5 1.1Тестирование на возможность проникновения из сети Интернет......................5 1.2Тестирование на возможность проникновения из внутренней сети..................5 1.3Тестирование на возможность проникновения в беспроводной сегмент корпоративной сети......................................................................................................6 1.4Определение уровня риска, связанного с обнаруженной уязвимостью............6 4Тестирование на возможность проникновения из сети Интернет............................7 1.5Использование легко угадываемых паролей для доступа к FTP-серверу........7 5Тестирование на возможность проникновения из внутренней сети.........................8 1.6Получение перечня пользователей домена.........................................................8 6Тестирование на возможность проникновения в беспроводной сегмент корпоративной сети.......................................................................................................10 1.7Использование уязвимого протокола WEP........................................................10
1 Резюме для руководства В соответствии с договором N 123 от 11.11.1111 специалистами компании ООО “Консультанты” в период с 22.22.2222 по 33.33.3333 было проведено тестирование на возможность несанкционированного проникновения в корпоративную сеть компании «Компания» (далее Компания). Проведенное тестирование показало что:  корпоративная сеть Компании достаточно хорошо защищена от атак из сети Интернет; тем не менее, ряд серьезных уязвимостей позволяет получить несанкционированный доступ к данным, хранящимся на внешних серверах;  беспроводная сеть, развернутая в головном офисе, является слабо защищенной из-за использования алгоритма обеспечения безопасности беспроводной сети, содержащего серьезные уязвимости.  корпоративная сеть компании слабо защищена от внутренних угроз и существует ряд серьезных уязвимостей, которые делают возможным получение несанкционированного доступа к конфиденциальной информации любым пользователем корпоративной сети; Основными нашими рекомендациями являются:  устранение выявленных технических уязвимостей;  внедрение процесса управления уязвимостями;  внедрение программы повышения осведомленности сотрудников Компании в области информационной безопасности; Настоящий отчет содержит описание выявленных недостатков и связанных с ними рисков информационной безопасности, а также детальные рекомендации по устранению уязвимостей.
2 Границы проекта Для проведения комплексного тестирования на возможность несанкционированного проникновения в корпоративную были выбраны следующие виды тестирования: Табл. 1 Сценарии тестирования Объекты № Тест Описание тестирования Тестирование на Попытка проникнуть в Серверы DMZ: возможность корпоративную сеть из сети  A.B.C.B проникновения из Интернет, используя уязвимости в  A.B.C.C сети Интернет программном обеспечении  A.B.C.D 1 серверов, сетевого оборудования  A.B.C.F и средств сетевой защиты. Маршрутизатор:  A.B.B.A Межсетевой экран:  A.B.C.A Тестирование на Попытка получить Сегменты, возможность административный доступ к корпоративной сети: проникновения из критичным информационным  С.С.A.0/24 2 внутренней сети системам компании, изначально  С.С.B.0/24 имея лишь возможность  С.С.C.0/24 физического подключения. Тестирование на Попытка подключиться к Беспроводной сегмент возможность беспроводной сети компании. сети, развернутый в проникновения в головном офисе 3 беспроводной сегмент компании, корпоративной сети расположенному по адресу: г. Москва, Улица, Дом.
3 Наш подход В настоящем разделе приведено описание нашего подхода, использовавшегося в ходе проведения тестирования: 1.1 Тестирование на возможность проникновения из сети Интернет В следующей таблице приведены шаги проведенного тестирования и ссылки на разделы с описанием обнаруженных недостатков. Табл. 2 Тестирование на возможность проникновения из сети Интернет Обнаруженные № Этап тестирования Описание недостатки Идентификация Определение открытых сетевых 1 запущенных сетевых портов и версий программного служб обеспечения. Сканирование на Поиск уязвимостей с помощью наличие уязвимостей. автоматизированных средств 2 сканирования на наличие уязвимостей Поиск уязвимостей Поиск информации об уязвимостях по 3 идентифицированным версиям в открытых источниках. Анализ Web- Анализ Web-приложения на приложения на наличие уязвимостей, наличие уязвимостей позволяющих организовать 4 к атакам типа “SQL прямое взаимодействие с Injection” системой управления базами данных. Попытка подобрать Подбор наиболее часто 4.1 Использование пароли для доступа к используемых паролей для легко угадываемых 5 сетевым службам. доступа к службе ftp. паролей для доступа к FTP-серверу и т.д 1.2 Тестирование на возможность проникновения из внутренней сети В следующей таблице приведены шаги проведенного тестирования и ссылки на разделы с описанием обнаруженных недостатков. Табл. 3 Тестирование на возможность проникновения из внутренней сети Обнаруженные № Этап тестирования Описание недостатки Идентификация Определение версий и типов 1 запущенных сетевых программного обеспечения, служб. работающего на сетевых узлах. Сканирование на Поиск уязвимостей с помощью наличие уязвимостей. автоматизированных средств 2 сканирования на наличие уязвимостей Поиск уязвимостей Поиск информации об уязвимостях по 3 идентифицированным версиям в открытых источниках. Получение перечня Получение перечня учетных 5.1 Получение учетных записей записей пользователей с перечня 4 пользователей использованием уязвимостей в пользователей домена домена. настройках и т.д.
1.3 Тестирование на возможность проникновения в беспроводной сегмент корпоративной сети В следующей таблице приведены шаги проведенного тестирования и ссылки на разделы с описанием обнаруженных недостатков. Табл. 4 Проникновение в беспроводной сегмент корпоративной сети Обнаруженные № Этап тестирования Описание недостатки Идентификация Определение: беспроводной сети и  идентификатора сети перехват трафика ESSID  MAC-адресов 1 беспроводных точек доступа;  Используемых протоколов для защиты сетевого трафика. Подбор ключа Подбор ключа, используемого для 6.1 Использование 2 подключения к беспроводной уязвимого протокола сети. WEP Атака с помощью Установка точки доступа с тем же “подставной” точки ESSID, что и у целевой сети. 3 доступа. Проведение атаки на подключающихся клиентов сети. и т.д. 1.4 Определение уровня риска, связанного с обнаруженной уязвимостью Уровень риска информационной безопасности, связанного с обнаруженной уязвимостью, определяется в соответствии с критериями, приведенными в следующей таблице. Уровень Описание риска Высокий  Уязвимость позволяет получить полный контроль над критичной системой (бизнес-приложение или критичный компонент ИТ-инфраструктуры), запускать произвольный код.  Средства для использования уязвимости доступны. Средний  Уязвимость позволяет получить полный контроль над критичной системой (бизнес-приложение или критичный компонент ИТ-инфраструктуры), запускать произвольный код.  Доступные средства для использования уязвимости пока недоступны. Низкий  Уязвимость позволяет получить некритичную информацию.  Уязвимость обнаружена в системе, не содержащей критичную информацию.
4 Тестирование на возможность проникновения из сети Интернет 1.5 Использование легко угадываемых паролей для доступа к FTP-серверу № Этап тестирования Использованное ПО Отчеты утилит 1 Попытка подобрать пароли THC-Hydra ftp_srv_pwd.txt для доступа к сетевым службам. Наблюдение На FTP-сервере ABC (IP-адрес: A.B.C.D) имеется учетная запись “admin” с установленным паролем “admin”. Получаемый с помощью данной учетной записи уровень доступа позволяет, как осуществлять чтение файлов в директориях сервера, так и изменять их. Рис. 1 Подбор пароля к FTP-службе Риск FTP-сервер ABCD используется для получения данных от партнеров компании. Использование легко угадываемых паролей может привести к несанкционированному доступу к данным о заказах, размещаемых партнерами Компании, а также к внесению неавторизованных изменений в заявки, которые могут привести к возникновению конфликтных ситуаций с партнерами Компании. Уровень риска Высокий Рекомендации Мы рекомендуем:  привести пароли учетных записей в соответствие принятой в Компании парольной политикой;  внедрить регулярную процедуру анализа стойкости паролей для доступа к сетевым службам, доступным из сети Интернет.
5 Тестирование на возможность проникновения из внутренней сети 1.6 Получение перечня пользователей домена № Этап тестирования Использованное ПО Отчеты утилит 1 Получение перечня учетных  SAU sau_report.txt записей пользователей домена. Наблюдение Настройки сервера контроллера домена CDE (IP-адрес: 10.140.170.1) позволяют неавторизованному пользователю получать информацию обо всех зарегистрированных пользователях домена. Рис. 2 Получение списка пользователей домена Риск Получение перечня пользователей домена позволяет злоумышленнику осуществить атаку методом подбора пароля и скомпрометировать учетные записи пользователей. Данная атака была успешно проведена в ходе тестирования (см. раздел). Уровень риска Высокий Рекомендации
Мы рекомендуем:  установить опцию “Network access: Allow anonymous SID/Name translation” в значение “disabled”.  разработать и внедрить стандарт по настройке серверов под управлением MS Windows 2003 Server, в соответствии с рекомендациями по безопасному конфигурированию системы.
6 Тестирование на возможность проникновения в беспроводной сегмент корпоративной сети 1.7 Использование уязвимого протокола WEP № Этап тестирования Использованное ПО Отчеты утилит 1 Подбор ключа.  kismet wepdata.ivs  airodump-ng  aircrack-ng Наблюдение Для защиты трафика беспроводной сети используется небезопасный протокол WEP и подбор ключа для которого занимает несколько секунд. Рис. 3 Подбор ключа WEP Риск Использование протокола WEP может привести к несанкционированному проникновению в корпоративную сеть Компании. Уровень риска Высокий Рекомендации Мы рекомендуем:
 отказаться от использования протокола WEP, рассмотреть возможность использования более защищенных протоколов WPA, WPA2.

Recommended

PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Threat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill ChainThreat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill ChainSuwitcha Musijaral CISSP,CISA,GWAPT,SNORTCP
 
VAPT - Vulnerability Assessment & Penetration Testing
VAPT - Vulnerability Assessment & Penetration Testing VAPT - Vulnerability Assessment & Penetration Testing
VAPT - Vulnerability Assessment & Penetration Testing Netpluz Asia Pte Ltd
 
Bulding Soc In Changing Threat Landscapefinal
Bulding Soc In Changing Threat LandscapefinalBulding Soc In Changing Threat Landscapefinal
Bulding Soc In Changing Threat LandscapefinalMahmoud Yassin
 
Analysis of web application penetration testing
Analysis of web application penetration testingAnalysis of web application penetration testing
Analysis of web application penetration testingEngr Md Yusuf Miah
 
Penetration Testing Report
Penetration Testing ReportPenetration Testing Report
Penetration Testing ReportAman Srivastava
 
Soc and siem and threat hunting
Soc and siem and threat huntingSoc and siem and threat hunting
Soc and siem and threat huntingVikas Jain
 
Threat Intelligence & Threat research Sources
Threat Intelligence & Threat research SourcesThreat Intelligence & Threat research Sources
Threat Intelligence & Threat research SourcesLearningwithRayYT
 

Recommended

PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Threat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill ChainThreat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill ChainSuwitcha Musijaral CISSP,CISA,GWAPT,SNORTCP
 
VAPT - Vulnerability Assessment & Penetration Testing
VAPT - Vulnerability Assessment & Penetration Testing VAPT - Vulnerability Assessment & Penetration Testing
VAPT - Vulnerability Assessment & Penetration Testing Netpluz Asia Pte Ltd
 
Bulding Soc In Changing Threat Landscapefinal
Bulding Soc In Changing Threat LandscapefinalBulding Soc In Changing Threat Landscapefinal
Bulding Soc In Changing Threat LandscapefinalMahmoud Yassin
 
Analysis of web application penetration testing
Analysis of web application penetration testingAnalysis of web application penetration testing
Analysis of web application penetration testingEngr Md Yusuf Miah
 
Penetration Testing Report
Penetration Testing ReportPenetration Testing Report
Penetration Testing ReportAman Srivastava
 
Soc and siem and threat hunting
Soc and siem and threat huntingSoc and siem and threat hunting
Soc and siem and threat huntingVikas Jain
 
Threat Intelligence & Threat research Sources
Threat Intelligence & Threat research SourcesThreat Intelligence & Threat research Sources
Threat Intelligence & Threat research SourcesLearningwithRayYT
 
Web vulnerabilities
Web vulnerabilitiesWeb vulnerabilities
Web vulnerabilitiesKrishna Gehlot
 
Security operations center 5 security controls
Security operations center 5 security controls Security operations center 5 security controls
Security operations center 5 security controlsAlienVault
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsYulian Slobodyan
 
Red + Blue, How Purple Are You
Red + Blue, How Purple Are YouRed + Blue, How Purple Are You
Red + Blue, How Purple Are YouJared Atkinson
 
BlueHat v17 || Securing Windows Defender Application Guard
BlueHat v17 || Securing Windows Defender Application Guard BlueHat v17 || Securing Windows Defender Application Guard
BlueHat v17 || Securing Windows Defender Application Guard BlueHat Security Conference
 
QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk M sharifi
 
Network scanning
Network scanningNetwork scanning
Network scanningoceanofwebs
 
The Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixThe Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixFrode Hommedal
 
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01MW_Arch Fastest_way_to_hunt_on_Windows_v1.01
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01Michael Gough
 
Effective Cyber Defense Using CIS Critical Security Controls
Effective Cyber Defense Using CIS Critical Security ControlsEffective Cyber Defense Using CIS Critical Security Controls
Effective Cyber Defense Using CIS Critical Security ControlsBSides Delhi
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter HimselfSergey Soldatov
 
Global Cyber Threat Intelligence
Global Cyber Threat IntelligenceGlobal Cyber Threat Intelligence
Global Cyber Threat IntelligenceNTT Innovation Institute Inc.
 
Application Security
Application SecurityApplication Security
Application SecurityReggie Niccolo Santos
 
IBM AppScan - the total software security solution
IBM AppScan - the total software security solutionIBM AppScan - the total software security solution
IBM AppScan - the total software security solutionhearme limited company
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report Morane Decriem
 
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Chris Gates
 
Whitepaper IBM Qradar Security Intelligence
Whitepaper IBM Qradar Security IntelligenceWhitepaper IBM Qradar Security Intelligence
Whitepaper IBM Qradar Security IntelligenceCamilo Fandiño Gómez
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Отчет Csa report RAPID7
Отчет Csa report RAPID7Отчет Csa report RAPID7
Отчет Csa report RAPID7Sergey Yrievich
 

More Related Content

What's hot

Security operations center 5 security controls
Security operations center 5 security controls Security operations center 5 security controls
Security operations center 5 security controlsAlienVault
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsYulian Slobodyan
 
Red + Blue, How Purple Are You
Red + Blue, How Purple Are YouRed + Blue, How Purple Are You
Red + Blue, How Purple Are YouJared Atkinson
 
BlueHat v17 || Securing Windows Defender Application Guard
BlueHat v17 || Securing Windows Defender Application Guard BlueHat v17 || Securing Windows Defender Application Guard
BlueHat v17 || Securing Windows Defender Application Guard BlueHat Security Conference
 
QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk M sharifi
 
Network scanning
Network scanningNetwork scanning
Network scanningoceanofwebs
 
The Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixThe Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixFrode Hommedal
 
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01MW_Arch Fastest_way_to_hunt_on_Windows_v1.01
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01Michael Gough
 
Effective Cyber Defense Using CIS Critical Security Controls
Effective Cyber Defense Using CIS Critical Security ControlsEffective Cyber Defense Using CIS Critical Security Controls
Effective Cyber Defense Using CIS Critical Security ControlsBSides Delhi
 
IBM AppScan - the total software security solution
IBM AppScan - the total software security solutionIBM AppScan - the total software security solution
IBM AppScan - the total software security solutionhearme limited company
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report Morane Decriem
 
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Chris Gates
 
Whitepaper IBM Qradar Security Intelligence
Whitepaper IBM Qradar Security IntelligenceWhitepaper IBM Qradar Security Intelligence
Whitepaper IBM Qradar Security IntelligenceCamilo Fandiño Gómez
 

What's hot (20)

Web vulnerabilities
Web vulnerabilitiesWeb vulnerabilities
Web vulnerabilities
 
Security operations center 5 security controls
Security operations center 5 security controls Security operations center 5 security controls
Security operations center 5 security controls
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodology
 
Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and Tools
 
Red + Blue, How Purple Are You
Red + Blue, How Purple Are YouRed + Blue, How Purple Are You
Red + Blue, How Purple Are You
 
BlueHat v17 || Securing Windows Defender Application Guard
BlueHat v17 || Securing Windows Defender Application Guard BlueHat v17 || Securing Windows Defender Application Guard
BlueHat v17 || Securing Windows Defender Application Guard
 
QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk
 
Network scanning
Network scanningNetwork scanning
Network scanning
 
The Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixThe Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence Matrix
 
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01MW_Arch Fastest_way_to_hunt_on_Windows_v1.01
MW_Arch Fastest_way_to_hunt_on_Windows_v1.01
 
Effective Cyber Defense Using CIS Critical Security Controls
Effective Cyber Defense Using CIS Critical Security ControlsEffective Cyber Defense Using CIS Critical Security Controls
Effective Cyber Defense Using CIS Critical Security Controls
 
Pentest cool
Pentest coolPentest cool
Pentest cool
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Global Cyber Threat Intelligence
Global Cyber Threat IntelligenceGlobal Cyber Threat Intelligence
Global Cyber Threat Intelligence
 
Application Security
Application SecurityApplication Security
Application Security
 
IBM AppScan - the total software security solution
IBM AppScan - the total software security solutionIBM AppScan - the total software security solution
IBM AppScan - the total software security solution
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report
 
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
 
Whitepaper IBM Qradar Security Intelligence
Whitepaper IBM Qradar Security IntelligenceWhitepaper IBM Qradar Security Intelligence
Whitepaper IBM Qradar Security Intelligence
 

Viewers also liked

этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Отчет Csa report RAPID7
Отчет Csa report RAPID7Отчет Csa report RAPID7
Отчет Csa report RAPID7Sergey Yrievich
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftDmitry Evteev
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
2.3 Тестирование: процесс, роли, артефакты
2.3 Тестирование: процесс, роли, артефакты2.3 Тестирование: процесс, роли, артефакты
2.3 Тестирование: процесс, роли, артефактыNatalia Odegova
 
Роман Романов, Константин Левин. Pentest Lab: опыт создания.
Роман Романов, Константин Левин. Pentest Lab: опыт создания.Роман Романов, Константин Левин. Pentest Lab: опыт создания.
Роман Романов, Константин Левин. Pentest Lab: опыт создания.Positive Hack Days
 
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахSergey Belov
 
«Путь от инди-разработчика до гейм-дизайнера в студии»
«Путь от инди-разработчика до гейм-дизайнера в студии»«Путь от инди-разработчика до гейм-дизайнера в студии»
«Путь от инди-разработчика до гейм-дизайнера в студии»Stfalcon Meetups
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)Olesya Shelestova
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
 
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)IT Club Mykolayiv
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Основы разработки требований по К.Вигерсу
Основы разработки требований по К.ВигерсуОсновы разработки требований по К.Вигерсу
Основы разработки требований по К.ВигерсуOlya Kollen, PhD
 

Viewers also liked (18)

этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Отчет Csa report RAPID7
Отчет Csa report RAPID7Отчет Csa report RAPID7
Отчет Csa report RAPID7
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
2.3 Тестирование: процесс, роли, артефакты
2.3 Тестирование: процесс, роли, артефакты2.3 Тестирование: процесс, роли, артефакты
2.3 Тестирование: процесс, роли, артефакты
 
Роман Романов, Константин Левин. Pentest Lab: опыт создания.
Роман Романов, Константин Левин. Pentest Lab: опыт создания.Роман Романов, Константин Левин. Pentest Lab: опыт создания.
Роман Романов, Константин Левин. Pentest Lab: опыт создания.
 
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТ
 
«Путь от инди-разработчика до гейм-дизайнера в студии»
«Путь от инди-разработчика до гейм-дизайнера в студии»«Путь от инди-разработчика до гейм-дизайнера в студии»
«Путь от инди-разработчика до гейм-дизайнера в студии»
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)
 
Recon ng null meet April 2015
Recon ng null meet April 2015Recon ng null meet April 2015
Recon ng null meet April 2015
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
 
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
 
Основы разработки требований по К.Вигерсу
Основы разработки требований по К.ВигерсуОсновы разработки требований по К.Вигерсу
Основы разработки требований по К.Вигерсу
 

Similar to Pentest Report Sample

Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
RedSeal - система визуализации и анализа рисков сетевой безопасности
RedSeal - система визуализации и анализа рисков сетевой безопасностиRedSeal - система визуализации и анализа рисков сетевой безопасности
RedSeal - система визуализации и анализа рисков сетевой безопасностиDialogueScience
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийИспользование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийSQALab
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)MrCoffee94
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...Aibek9
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияIT-Integrator
 
C:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикC:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикEvgen
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Dr web
Dr webDr web
Dr webBDA
 
Облачные технологии в продуктах Лаборатории Касперского
Облачные технологии в продуктах Лаборатории КасперскогоОблачные технологии в продуктах Лаборатории Касперского
Облачные технологии в продуктах Лаборатории КасперскогоActiveCloud
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании. Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.Cisco Russia
 

Similar to Pentest Report Sample (20)

Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
 
RedSeal - система визуализации и анализа рисков сетевой безопасности
RedSeal - система визуализации и анализа рисков сетевой безопасностиRedSeal - система визуализации и анализа рисков сетевой безопасности
RedSeal - система визуализации и анализа рисков сетевой безопасности
 
Secure development
Secure developmentSecure development
Secure development
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийИспользование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложений
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
Занятие № 10. Учетные записи пользователей. Обслуживание дисков. Настройка па...
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
 
C:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикC:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученик
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Dr web
Dr webDr web
Dr web
 
Облачные технологии в продуктах Лаборатории Касперского
Облачные технологии в продуктах Лаборатории КасперскогоОблачные технологии в продуктах Лаборатории Касперского
Облачные технологии в продуктах Лаборатории Касперского
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
 
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании. Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
 

More from Training center "Echelon"

More from Training center "Echelon" (10)

03 Koloskov
03 Koloskov03 Koloskov
03 Koloskov
 
04 Dorofeev
04 Dorofeev04 Dorofeev
04 Dorofeev
 
02 Sokolov
02 Sokolov02 Sokolov
02 Sokolov
 
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
 
Security Audit Rfp Template
Security Audit Rfp TemplateSecurity Audit Rfp Template
Security Audit Rfp Template
 
Introduction
IntroductionIntroduction
Introduction
 
Module 5 Google Hacking
Module 5 Google HackingModule 5 Google Hacking
Module 5 Google Hacking
 
введение
введениевведение
введение
 
TB FORUM
TB FORUMTB FORUM
TB FORUM
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 

Pentest Report Sample

  • 1. Отчет о результатах тестирования на возможность несанкционированного проникновения в корпоративную сеть компании “Компания” Настоящий документ представляет собой фрагменты отчета, подготавливаемого по результатам тестирования на возможность проникновения. Структура отчета и степень детализации согласуются с клиентом. Москва 2010
  • 2. Содержание 1Резюме для руководства...............................................................................................3 2Границы проекта............................................................................................................4 3Наш подход.....................................................................................................................5 1.1Тестирование на возможность проникновения из сети Интернет......................5 1.2Тестирование на возможность проникновения из внутренней сети..................5 1.3Тестирование на возможность проникновения в беспроводной сегмент корпоративной сети......................................................................................................6 1.4Определение уровня риска, связанного с обнаруженной уязвимостью............6 4Тестирование на возможность проникновения из сети Интернет............................7 1.5Использование легко угадываемых паролей для доступа к FTP-серверу........7 5Тестирование на возможность проникновения из внутренней сети.........................8 1.6Получение перечня пользователей домена.........................................................8 6Тестирование на возможность проникновения в беспроводной сегмент корпоративной сети.......................................................................................................10 1.7Использование уязвимого протокола WEP........................................................10
  • 3. 1 Резюме для руководства В соответствии с договором N 123 от 11.11.1111 специалистами компании ООО “Консультанты” в период с 22.22.2222 по 33.33.3333 было проведено тестирование на возможность несанкционированного проникновения в корпоративную сеть компании «Компания» (далее Компания). Проведенное тестирование показало что:  корпоративная сеть Компании достаточно хорошо защищена от атак из сети Интернет; тем не менее, ряд серьезных уязвимостей позволяет получить несанкционированный доступ к данным, хранящимся на внешних серверах;  беспроводная сеть, развернутая в головном офисе, является слабо защищенной из-за использования алгоритма обеспечения безопасности беспроводной сети, содержащего серьезные уязвимости.  корпоративная сеть компании слабо защищена от внутренних угроз и существует ряд серьезных уязвимостей, которые делают возможным получение несанкционированного доступа к конфиденциальной информации любым пользователем корпоративной сети; Основными нашими рекомендациями являются:  устранение выявленных технических уязвимостей;  внедрение процесса управления уязвимостями;  внедрение программы повышения осведомленности сотрудников Компании в области информационной безопасности; Настоящий отчет содержит описание выявленных недостатков и связанных с ними рисков информационной безопасности, а также детальные рекомендации по устранению уязвимостей.
  • 4. 2 Границы проекта Для проведения комплексного тестирования на возможность несанкционированного проникновения в корпоративную были выбраны следующие виды тестирования: Табл. 1 Сценарии тестирования Объекты № Тест Описание тестирования Тестирование на Попытка проникнуть в Серверы DMZ: возможность корпоративную сеть из сети  A.B.C.B проникновения из Интернет, используя уязвимости в  A.B.C.C сети Интернет программном обеспечении  A.B.C.D 1 серверов, сетевого оборудования  A.B.C.F и средств сетевой защиты. Маршрутизатор:  A.B.B.A Межсетевой экран:  A.B.C.A Тестирование на Попытка получить Сегменты, возможность административный доступ к корпоративной сети: проникновения из критичным информационным  С.С.A.0/24 2 внутренней сети системам компании, изначально  С.С.B.0/24 имея лишь возможность  С.С.C.0/24 физического подключения. Тестирование на Попытка подключиться к Беспроводной сегмент возможность беспроводной сети компании. сети, развернутый в проникновения в головном офисе 3 беспроводной сегмент компании, корпоративной сети расположенному по адресу: г. Москва, Улица, Дом.
  • 5. 3 Наш подход В настоящем разделе приведено описание нашего подхода, использовавшегося в ходе проведения тестирования: 1.1 Тестирование на возможность проникновения из сети Интернет В следующей таблице приведены шаги проведенного тестирования и ссылки на разделы с описанием обнаруженных недостатков. Табл. 2 Тестирование на возможность проникновения из сети Интернет Обнаруженные № Этап тестирования Описание недостатки Идентификация Определение открытых сетевых 1 запущенных сетевых портов и версий программного служб обеспечения. Сканирование на Поиск уязвимостей с помощью наличие уязвимостей. автоматизированных средств 2 сканирования на наличие уязвимостей Поиск уязвимостей Поиск информации об уязвимостях по 3 идентифицированным версиям в открытых источниках. Анализ Web- Анализ Web-приложения на приложения на наличие уязвимостей, наличие уязвимостей позволяющих организовать 4 к атакам типа “SQL прямое взаимодействие с Injection” системой управления базами данных. Попытка подобрать Подбор наиболее часто 4.1 Использование пароли для доступа к используемых паролей для легко угадываемых 5 сетевым службам. доступа к службе ftp. паролей для доступа к FTP-серверу и т.д 1.2 Тестирование на возможность проникновения из внутренней сети В следующей таблице приведены шаги проведенного тестирования и ссылки на разделы с описанием обнаруженных недостатков. Табл. 3 Тестирование на возможность проникновения из внутренней сети Обнаруженные № Этап тестирования Описание недостатки Идентификация Определение версий и типов 1 запущенных сетевых программного обеспечения, служб. работающего на сетевых узлах. Сканирование на Поиск уязвимостей с помощью наличие уязвимостей. автоматизированных средств 2 сканирования на наличие уязвимостей Поиск уязвимостей Поиск информации об уязвимостях по 3 идентифицированным версиям в открытых источниках. Получение перечня Получение перечня учетных 5.1 Получение учетных записей записей пользователей с перечня 4 пользователей использованием уязвимостей в пользователей домена домена. настройках и т.д.
  • 6. 1.3 Тестирование на возможность проникновения в беспроводной сегмент корпоративной сети В следующей таблице приведены шаги проведенного тестирования и ссылки на разделы с описанием обнаруженных недостатков. Табл. 4 Проникновение в беспроводной сегмент корпоративной сети Обнаруженные № Этап тестирования Описание недостатки Идентификация Определение: беспроводной сети и  идентификатора сети перехват трафика ESSID  MAC-адресов 1 беспроводных точек доступа;  Используемых протоколов для защиты сетевого трафика. Подбор ключа Подбор ключа, используемого для 6.1 Использование 2 подключения к беспроводной уязвимого протокола сети. WEP Атака с помощью Установка точки доступа с тем же “подставной” точки ESSID, что и у целевой сети. 3 доступа. Проведение атаки на подключающихся клиентов сети. и т.д. 1.4 Определение уровня риска, связанного с обнаруженной уязвимостью Уровень риска информационной безопасности, связанного с обнаруженной уязвимостью, определяется в соответствии с критериями, приведенными в следующей таблице. Уровень Описание риска Высокий  Уязвимость позволяет получить полный контроль над критичной системой (бизнес-приложение или критичный компонент ИТ-инфраструктуры), запускать произвольный код.  Средства для использования уязвимости доступны. Средний  Уязвимость позволяет получить полный контроль над критичной системой (бизнес-приложение или критичный компонент ИТ-инфраструктуры), запускать произвольный код.  Доступные средства для использования уязвимости пока недоступны. Низкий  Уязвимость позволяет получить некритичную информацию.  Уязвимость обнаружена в системе, не содержащей критичную информацию.
  • 7. 4 Тестирование на возможность проникновения из сети Интернет 1.5 Использование легко угадываемых паролей для доступа к FTP-серверу № Этап тестирования Использованное ПО Отчеты утилит 1 Попытка подобрать пароли THC-Hydra ftp_srv_pwd.txt для доступа к сетевым службам. Наблюдение На FTP-сервере ABC (IP-адрес: A.B.C.D) имеется учетная запись “admin” с установленным паролем “admin”. Получаемый с помощью данной учетной записи уровень доступа позволяет, как осуществлять чтение файлов в директориях сервера, так и изменять их. Рис. 1 Подбор пароля к FTP-службе Риск FTP-сервер ABCD используется для получения данных от партнеров компании. Использование легко угадываемых паролей может привести к несанкционированному доступу к данным о заказах, размещаемых партнерами Компании, а также к внесению неавторизованных изменений в заявки, которые могут привести к возникновению конфликтных ситуаций с партнерами Компании. Уровень риска Высокий Рекомендации Мы рекомендуем:  привести пароли учетных записей в соответствие принятой в Компании парольной политикой;  внедрить регулярную процедуру анализа стойкости паролей для доступа к сетевым службам, доступным из сети Интернет.
  • 8. 5 Тестирование на возможность проникновения из внутренней сети 1.6 Получение перечня пользователей домена № Этап тестирования Использованное ПО Отчеты утилит 1 Получение перечня учетных  SAU sau_report.txt записей пользователей домена. Наблюдение Настройки сервера контроллера домена CDE (IP-адрес: 10.140.170.1) позволяют неавторизованному пользователю получать информацию обо всех зарегистрированных пользователях домена. Рис. 2 Получение списка пользователей домена Риск Получение перечня пользователей домена позволяет злоумышленнику осуществить атаку методом подбора пароля и скомпрометировать учетные записи пользователей. Данная атака была успешно проведена в ходе тестирования (см. раздел). Уровень риска Высокий Рекомендации
  • 9. Мы рекомендуем:  установить опцию “Network access: Allow anonymous SID/Name translation” в значение “disabled”.  разработать и внедрить стандарт по настройке серверов под управлением MS Windows 2003 Server, в соответствии с рекомендациями по безопасному конфигурированию системы.
  • 10. 6 Тестирование на возможность проникновения в беспроводной сегмент корпоративной сети 1.7 Использование уязвимого протокола WEP № Этап тестирования Использованное ПО Отчеты утилит 1 Подбор ключа.  kismet wepdata.ivs  airodump-ng  aircrack-ng Наблюдение Для защиты трафика беспроводной сети используется небезопасный протокол WEP и подбор ключа для которого занимает несколько секунд. Рис. 3 Подбор ключа WEP Риск Использование протокола WEP может привести к несанкционированному проникновению в корпоративную сеть Компании. Уровень риска Высокий Рекомендации Мы рекомендуем:
  • 11. отказаться от использования протокола WEP, рассмотреть возможность использования более защищенных протоколов WPA, WPA2.