Merhabalar,
Verimli bir sızma testi yaptırmak konulu yazı dizimize, “Pandemi Şartları ve Uzaktan Sızma Testi” konusu ile devam ediyoruz.
Günlük hayatı ve profesyonel iş faaliyetlerini pek çok yönden etkileyen pandemi şartlarının sızma testi çalışmaları ve bunların uygulanma sürecini de etkilemesi kaçınılmazdır. Bu noktada verimli bir sızma testi için, çalışmaların uzaktan yapılabilirliği konusunun irdelenmesi ve ona göre bilinçli bir aksiyon alınması önem kazanmaktadır.
Bu yazı dizisinde alt başlıklar halinde konu incelenecek ve okurlara pandemi şartlarında verimli bir sızma testi yapılabilmesi için rehber olunmaya çalışılacaktır.
“Verimli Bir Sızma Testi Yaptırmak” konulu yazı dizisini en baştan takip etmek isteyen okurlar, önceki yazılarına aşağıdaki bağlantılardan erişebilirler.
- “Verimli Bir Sızma Testi Yaptırmak: Yola Çıkarken”
- “Verimli Bir Sızma Testi Yaptırmak (2): Planlama ve Kapsam Belirleme”
- “Verimli Bir Sızma Testi Yaptırmak (3): Doğru Adresi Bulma”
- “Verimli Bir Sızma Testi Yaptırmak (4): Test Esnasında Bilgilendirme ve Yetkilendirmeler”
Sağlıklı bir karar için sızma testi çalışmaları makul başlıklar altında gruplanmaldır
Pandemi şartlarında uzaktan testin yapılabilirliği konusunu değerlendirmek için öncelikle sızma testi faaliyetlerini açık bir şekilde anlamak ve hizmet alan taraf olarak kendi kapsamının hangi noktaya düştüğünü bilmek gerekir. Örneğin sızma testi ile Yerel Ağ testi kastediliyor farklı bir durum, mobil uygulama testi kastediliyor farklı bir durum söz konusudur.
Bu durumu aydınlatmak için sızma testlerini aşağıdaki gibi gruplamak makul olacaktır.
- Internete Açık Sistem Testleri
- Internete Açık Uygulama (Web/Mobil) Testleri
- Sosyal Mühendislik Testleri
- Servis Dışı Bırakma (DDOS) Testleri
- Yerel Ağ ve Sistem Testleri
- Kablosuz Sistem Testleri
- NAC (Network Access Control) Testleri
Hizmeti alan taraf pandemi şartlarının kendi testine etki edip etmediğini düşünmek için öncelikle kendi test kapsamının yukarıdaki ana başlıklardan hangisinin altına girdiğine karar vermelidir.
Eğer test kapsamınız için test ekibinin lokasyona gelmesi bir avantaj sağlamıyorsa pandemi şartlarını hesaba katmanıza gerek yoktur.
Aşağıdaki tablodan da görüleceği üzere, bazı test kalemleri için test ekibinin sistemlerin bulunduğu lokasyona gelmesi gerekir. Öte yandan birçok başlık için ise bu şekilde bir gereklilik mevcut değildir. Bu başlıklardan biri için test ekibinin lokasyona gelmeyi zorlanması teknik olarak anlamlı değildir.
Ayrıca pandemi şartlarından bağımsız test hizmeti alan taraf olarak, hizmet sağlayıcı tarafı sırf iş ahlakı veya keyfi nedenlerle lokasyona gelmeye zorlamak pandemi şartlarından bağımsız olarak makul olmayan bir uygulama olacaktır. Zira hizmet veren taraf iş ahlakından yoksun ise, test yapılacak lokasyona gelse de gerekli kalitede hizmeti sunmayacaktır.
Sonuç olarak, pandemi şartlarında test verimliliğinin sağlanmasında girmeden önce test kapsamının hangi başlık altına girdiğini kontrol etmek ve ona göre aksiyon almak makul olacaktır.
Yerel uygulama testleri için uygun senaryo seçilmeli ve uygulanmalıdır.
Eğer hizmet alan tarafın yerelde çalışan uygulamaları var ise pandemi şartlarında aşağıdaki yöntemlerden biri uygulanabilir. Her bir yöntemin avantajları ve dezavantajları mevcuttur.
Bu yöntemler içerisinden güvenlik ve verimlilik açısından bir değerlendirme yapıldığında en uygun olanının 2. Yöntem olan “VPN ile test ekibinin yerel ortama alınması. Test ekibinin kendi bilgisayarı üzerinden testleri yapması” olduğu değerlendirilmektedir.
Yerel sistem testleri için uygun senaryo seçilmeli ve uygulanmalıdır.
Yerel sistem testleri normal şartlarda test ekibinin lokasyona gitmesinin gerektiği test adımlarından biridir.
Ancak aşağıda belirtilen yöntemlerde bu çalışma da pandemi şartlarında uzaktan yapılabilir. Bunun için aşağıdaki ortamın kurulumu ve yine aşağıdaki bağlantı seçeneklerinden biri ile ortama bağlantı yapılması gerekir.
Yukarıdaki ortamın kurulumundan sonra aşağıdaki bağlantı seçeneklerinden biri ile sistemin kurulduğu makineye bağlantı yapılarak test yapılabilir.
Bu yöntemler içerisinden güvenlik ve verimlilik açısından bir değerlendirme yapıldığında en uygun olanının VPN ile test yapılacak kurum networküne dahil oldukduktan sonra test için kullanılacak makineye RDP ile bağlanılması olduğu değerlendirilmektedir.
Burada akla gelen bir diğer yöntem test ekibinin VPN üzerinden ortama bağlanması ve otomatize/manuel testleri kendi bilgisayarı üzerinden yapmasıdır. Ancak bu senaryo da, test bilgisayarı ile test edilecek ortamda olmamaktadır. Bu durumun başta paket kaybı olmak üzere bazı eksikliklere neden olduğu tespit edilmiş olup önerilmemektedir.
Kablosuz sistem testleri yayın yapma özelliği olan bir adaptör ile uzaktan yapılabilir.
Paket enjeksiyonuna izin veren ve kali linux ile uyumlu bir adaptor seçilip uzaktan erişimin sağlandığı fiziksel makineye takılır.
Test ekibi uzaktan bağlantısında bu adaptör üzerinden ortam dinleme, yetksisiz yayın yapma gibi testleri gerçekleştirebilir.
NAC testi belli seviyede de olsa uzaktan gerçekleştirilebilir.
Sızma testi süreçlerinde lokasyona gitmenin avantaj sağlayacağı test kalemlerinden biri de NAC testidir. Ancak bu testte belli seviyede uzaktan gerçekleştirilebilir.
Çalışma aşağıdaki şekilde gerçekleşebilir.
- “Uzaktan Yapılacak Yerel Ağ Testleri İçin İhtiyaçlar” başlığı altında verilen düzenek kurulur.
- Uzaktan erişilen fiziksel makineye kablosuz ağ üzerinden IP alınır.
- Sanal makine üzerinde yer alan kali ise NAC yapısının aktif olduğu ethernet portuna bağlanır.
- NAC’ın işlevini sağladığı normal şartlarda ağda tanımlanmamış Kali makinesinin IP alamaması beklenir.
- Test ekibi, ortamı dinleyerek elde ettiği MAC değerini Kali’ye bağlayarak NAC cihazını kandırmaya ve ethernet portundan IP almaya çalışır.
- IP alırsa NAC başarısız, alamazsa başarılı sayılır.
Bir sonraki yazıda görüşmek üzere.
Uzaktan çalışma şartlarının zorunlu olmadığı sağlıklı günler dileriz.