Virtual learning environment for penetration testing
Puttonen, Jarmo (2015)
Puttonen, Jarmo
Jyväskylän ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201503133150
https://urn.fi/URN:NBN:fi:amk-201503133150
Tiivistelmä
Työn tavoitteena oli luoda Jyväskylän ammattikorkeakoulun IT-instituutin
kyberturvallisuusteknologia-aiheisen JYVSECTEC-projektin kehittämään kyberturvallisuuden
tutkimus-, koulutus- ja kehitysympäristöön laboratorio, jota voidaan käyttää
penetraatiotestaustaitojen kouluttamisessa sekä näiden taitojen osaamisen arvioinnissa. Työn
tavoitteet laajenivat toteutuksen aikana sisältämään seurantaohjelmiston sekä tälle integraation
Moodle-oppimisalustaan. Seurantaohjelmistolla tuli olla mahdollista seurata käyttäjien etenemistä
erilaisissa penetraatiotestaukseen liittyvissä laboratorioympäristöissä sekä esimerkiksi
kyberturvallisuusharjoituksissa.
Työn teoriaosuus keskittyy kuvaamaan penetraatiotestauksen rakenteen määrittelevän Penetration
Testing Standardin, OWASP-projektin vuoden 2013 Top10-haavoittuvuuskategoriat,
penetraatiotestaukseen suunnitellun Kali Linux käyttöjärjestelmän ja joitain kehitettyä
laboratorioympäristöä vastaavia olemassaolevia ympäristöjä.
Työn tuloksena toteutettu virtuaalinen oppimisympäristö toimii toimeksiantajan haluamalla tavalla
kokonaisuutena niin, että opiskelijoiden edetessä laboratorioympäristössä seurantaohjelmisto
välittää opiskelijoiden etenemistiedot Moodlelle, joka automatisoidusti ohjaa opiskelijoita sekä
pisteyttää opiskelijoiden osaamista seurantatietojen perusteella. Moodle-ympäristöllä ja tämän
seurantaohjelmistointegraatiolla pystytään seuraamaan samanaikaisesti useita erilaisia laboratorioja
harjoitusympäristöjä. Luotu laboratorioympäristö toteutettiin mallintamaan fiktiivisen
keskisuuren yrityksen tietoverkkoa. Laboratorioympäristö sisältää lukuisia haavoittuvuuksia useissa
eri käyttöjärjestelmissä ja sitä pystytään käyttämään sellaisenaan skenaariotyyppisenä kokeena tai
penetraatiotestaustyökalujen koulutuksessa ja testaamisessa.
Jatkokehityksessä luotua laboratorioympäristöä pystytään käyttämään pohjana uusien ympäristöjen
luomisessa ja seurantaympäristö on helposti integroitavissa erilaisiin käyttökohteisiin.
kyberturvallisuusteknologia-aiheisen JYVSECTEC-projektin kehittämään kyberturvallisuuden
tutkimus-, koulutus- ja kehitysympäristöön laboratorio, jota voidaan käyttää
penetraatiotestaustaitojen kouluttamisessa sekä näiden taitojen osaamisen arvioinnissa. Työn
tavoitteet laajenivat toteutuksen aikana sisältämään seurantaohjelmiston sekä tälle integraation
Moodle-oppimisalustaan. Seurantaohjelmistolla tuli olla mahdollista seurata käyttäjien etenemistä
erilaisissa penetraatiotestaukseen liittyvissä laboratorioympäristöissä sekä esimerkiksi
kyberturvallisuusharjoituksissa.
Työn teoriaosuus keskittyy kuvaamaan penetraatiotestauksen rakenteen määrittelevän Penetration
Testing Standardin, OWASP-projektin vuoden 2013 Top10-haavoittuvuuskategoriat,
penetraatiotestaukseen suunnitellun Kali Linux käyttöjärjestelmän ja joitain kehitettyä
laboratorioympäristöä vastaavia olemassaolevia ympäristöjä.
Työn tuloksena toteutettu virtuaalinen oppimisympäristö toimii toimeksiantajan haluamalla tavalla
kokonaisuutena niin, että opiskelijoiden edetessä laboratorioympäristössä seurantaohjelmisto
välittää opiskelijoiden etenemistiedot Moodlelle, joka automatisoidusti ohjaa opiskelijoita sekä
pisteyttää opiskelijoiden osaamista seurantatietojen perusteella. Moodle-ympäristöllä ja tämän
seurantaohjelmistointegraatiolla pystytään seuraamaan samanaikaisesti useita erilaisia laboratorioja
harjoitusympäristöjä. Luotu laboratorioympäristö toteutettiin mallintamaan fiktiivisen
keskisuuren yrityksen tietoverkkoa. Laboratorioympäristö sisältää lukuisia haavoittuvuuksia useissa
eri käyttöjärjestelmissä ja sitä pystytään käyttämään sellaisenaan skenaariotyyppisenä kokeena tai
penetraatiotestaustyökalujen koulutuksessa ja testaamisessa.
Jatkokehityksessä luotua laboratorioympäristöä pystytään käyttämään pohjana uusien ympäristöjen
luomisessa ja seurantaympäristö on helposti integroitavissa erilaisiin käyttökohteisiin.