Gourt Home::Gourt :: Penetrationtest
Penetrationtest ist die Bezeichnung für eine Sicherheitsüberprüfung eines Netzwerk- oder Softwaresystems aus Sicht eines Hackers.
Innerhalb der Einordnung von Sicherheitstests bezeichnet ein Penetrationtest einen Test, bei dem ein Sicherheitsexperte versucht, mit entsprechenden Programmen in ein System einzudringen. Oftmals wird der Begriff Penetrationtest auch für einen automatischen Vulnerability Scan verwendet, was jedoch verwirrend und falsch ist. Während der Vulnerability Scan weitgehend automatisch abläuft, bedarf es bei einem echten Penetrationtest menschlichen Zutuns. Der Security Scan unterscheidet sich vom Vulnerability Scan durch eine manuelle Verifikation der Testergebnisse.
Zielsetzung
Ziele eines Penetrationtests sind:
- Identifikation von Schwachstellen
- die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
- die Bestätigung der IT-Sicherheit durch einen externen Dritten.
Testaufbau und Durchführung
Das Bundesamt für Sicherheit in der Informationstechnik Deutschland (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:
- Informationsbasis
- Aggressivität
- Umfang
- Vorgehensweise
- Technik
- Ausgangspunkt
Prozessbeschreibung
Das BSI empfiehlt beim Durchführen eines Penetrationtests einen fünfstufigen Prozess. Die Vorbereitungsphase dient zur gemeinsamen Zielsetzung und dem Testaufbau mit dem Kunden. In der Informationsbeschaffungsphase versucht der Sicherheitsanalyst möglichst viele Informationen über das zu testende System zu erhalten. Die gewonnen Informationen werden anschließend einer Bewertung unterzogen. Erst danach werden aktive Eindringungsversuche unternommen. Anschließend werden die Ergebnisse gesammelt und in Form eines Berichts gebündelt. Dieser Bericht enthält auch Empfehlungen, wie mit eventuellen Sicherheitsproblemen umgegangen werden soll. Begleitend zu allen fünf Phasen ist eine akribische Dokumentation der einzelnen Arbeitsschritte notwendig.
Risiken
Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen DoS-Attacken darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, so muss das außerhalb der Nutzungszeiten des Systems erfolgen. Auch bei gewöhnlichen I- oder E- Modulen kann es unter Umständen zum Absturz von einzelnen Systemen kommen. In der Vorbereitungsphase muss auch eine Übereinkunft zwischen Auftraggeber und Kunden getroffen werden, wie mit den erhaltenen Erkenntnissen umgegangen wird. So könnten die Tester im Rahmen des Tests an unternehmenskritische Informationen gelangen.
Software
Die Durchführung von Penetrationstests kann durch verschiedene Softwareprodukte unterstützt werden. Dazu zählen etwa Portscanner wie Nmap, Vulnerability Scanner wie Nessus, Sniffer wie Wireshark, Paketgeneratoren wie HPing 2/3 und Passwortcracker wie John the Ripper. Das BSI stellt eine Sammlung solcher Tools unter dem Namen Open Source Security Suite (BOSS) kostenlos zur Verfügung. Spezialisierte Linux Live CDs wie PHLAK, Pentoo, S-t-d oder BackTrack (vormals Auditor and Whax) enthalten eine Vielzahl zweckdienlicher Werkzeuge. Weitere bekannte Tools für Penentrationstests sind Attack Tool Kit (ATK) oder Metasploit.
Weblinks
- Bundesamt für Sicherheit in der Informationstechnologie, Studie zur Durchführung von Penetrationstests
- Open-Source Security Testing Methology Manual
- SecurityFocus Penetration Testing Listenarchiv
- Metasploit Project, ein offenes Exploiting-Framework für Unix/Linux und Windows
- Attack Tool Kit (ATK), ein offenes Scanning- und Exploiting-Framework für Windows
- Open Source Security Suite (BOSS)
"Penetrationtest"