Dave Shackleford összehozott egy útmutatót az IT biztonság területén tevékenykedni kívánó újoncok, "n00b-ok" számára, és meg kell mondjam, szívemből beszélt a srác, úgyhogy most igyekszem átadni az általa megfogalmazott gondolatok lényegét (ez félig 1-1 fordítás lesz, félig összefoglaló):

Az IT biztonsággal foglalkozó (elismert) szakértőknek megvan az az igen kellemetlen szokása, hogy nagyon nehezen engednek be másokat a klubjukba. Olyanok vagyunk [már ha egyáltalán besorolhatom magam ebbe a kategóriába...], mint egy középiskolai klikk, akik nem engedik a körön kívülieket az asztalukhoz az ebédlőben, és nem hívják meg őket a bulijaikba. Ez sajnos adott, viszont lehet tenni egyet s mást a könnyebb bejutás érdekében:

• Attól, hogy elvégeztél egy iskolát vagy szereztél valamilyen minősítést, még ne hívd magad biztonsági szakértőnek, mivel nem vagy az. A tapasztalat és a technikai ismeretek azok, amelyek számítanak ezen a területen - amíg ezekkel nem rendelkezel, a létra ajáról indulsz a papírjaidtól függetlenül.
• Mutasd meg mit tudsz! Ne beszélj elméletekről, koncepciókról, és Isten őrizz, hogy felhozd a Bell-LaPadula modellt! Segíts a biztonság megvalósításában! A modellek valójában semmit sem tesznek, maximum alkoholgőzös meetingekre és CISSP vizsgákra jók.
• A legjobb biztonsági szakértők valójában nem csak biztonsági háttérrel rendelkeznek. Tényleg úgy hiszem, hogy el kell töltened néhány évet azzal, hogy valami mást csinálj. Programozás, rendszer-, hálózat- vagy adatbázis-adminisztráció, stb. Hogyan tudnál biztonságossá tenni valamit, amihez nem értesz? A biztonság nem az IDS-ekről meg a behatolástesztelésről szól. A biztonság legfontosabb komponense a veszélyek megelőzése a hagyományos régi technológiák tervezésekor és használatakor, és nem árt ha foglalkozol ezzekkel egy kicsit, mielőtt nekiállnál a világ megmentésének.
• Legyél tisztában a következőkkel: TCP/IP, Cisco IOS, alapvető Windows és Uinux adminisztráció. Válassz egy szrkiptnyelvet és próbálj profivá válni benne. Ezek az alapvető ismeretek.
• Vásárolj könyveket és olvass! Ajánlott irodalom: Hacking Exposed, legújabb kiadás. Counter-Hack Reloaded. Network Security Hacks (2. kiadás). Minden Richard Bejtlich-től. Malware (Skoudis és Zeltser). Security Engineering (2. kiadás). Applied Cryptography. Szánj 5-10.000 Ft-ot havonta könyvekre.
• Értsd meg, hogy hogyan lehet biztonságossá tenni egy operációs rendszert. Olvasd el a CIS benchmark-okat, a DISA STIG-eket, és a különböző gyártók, pl. a Microsoft útmutatóit. Ezek alapvető dolgok, amiket jóval azelőtt meg kell tanulnod, mielőtt olyan szexi dolgokkal kezdenél foglalkozni, mint a behatolástesztelés.
• Ismerj meg egy tetszőleges packet sniffert. A Wireshark jó. A TCPdump is. Mindkettő ingyenes, és segítségükkel elkezdhetsz belenézni a csomagokba, hogy lásd, mi a franc is történik.
• Tanuld meg a Snort használatát! Szánj hónapokat a telepítésre, a konfiguráció hangolására, a szabályok megtervezésére, az architektúra kialakítására stb. Ez lesz az egyetlen IDS amit használni fogsz? Talán, talán nem, de ár/érték arányban ez a legjobb, és tanulnod kell.
• Töltsd le a Backtrack disztribúciót, és próbáld ki egy teszt hálózatban, és kezdj el megismerkezni a felderítési technikákkal (nmap, hping3, Nessus, OpenVAS), és sebezhetőségkihasználási módszerekkel (milw0rm, Metasploit).

A fentieken kívül a roo362 egyik bloggere összegyűjtött pár online tudástárat, ami szintén jó kiindulási alap lehet:

• SecurityTube
• The Academy
• Dan Guido behatolástesztelési kurzusa a Poly U-n
• És az elmaradhatatlan Metasploit Unleashed tanfolyam

 

Folyt köv.!