In dieser kleinen Serie möchte ich eine kurze Einleitung zur theoretischen Vorgehensweise von Penetrationstests geben.
Aufgeteilt ist diese Serie in folgende Beiträge:
- #1 Was ist Penetrationtesting, Schutzziele, Täterprofile
- #2 Klassifikation von Penetrationtests
- #3 Phasen eines Penetrationstests
- #4 Bewertung von Schwachstellen
Diese Serie ist nicht vollständig und soll lediglich einen groben Überblick geben. Bei offenen Fragen zu einem Thema beantworte ich diese natürlich gerne in den Kommentaren oder schreibe einen weiteren Beitrag !
Um einen Penetrationstest an die entsprechende Zielsetzung anzupassen, definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in [S.12ff.][3] sechs Kriterien, um einen Penetrationstest zu klassifizieren.
Bildquelle: [S.13][3]
Informationsbasis
In der Informationsbasis wird beschrieben, welche Informationen zu beginn eines Testes vorhanden sind.
Grundlegend wird zwischen einem Black- und White-Box-Test unterschieden.
Bei einem Black-Box-Test sind zu beginn keine internen Informationen zu den Systemen vorhanden. Dadurch kann ein externer Angriff simuliert werden, bei dem die Informationsbeschaffung ein wichtiger Bestandteil ist.
Ein White-Box-Test dagegen ermöglicht dem Penetrationtester Einsicht in interne Strukturen, wie beispielsweise der Aufbau des Netzwerkes oder genutzte Technologien und Dienste. Durch diesen Test kann ein ehemaliger Mitarbeiter simuliert werden [S.14][3].
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt grundsätzlich White-Box-Tests durchzuführen, da der zeitliche Aufwand zur Informationsbeschaffung hierbei geringer ist [S.5][4].
Michael Messner ergänzt dieses Modell in [S.9][2] zusätzlich durch Gray-Box-Tests, die eine Kombination aus Black- und White-Box-Tests darstellen und nur bestimmte Informationen zur Verfügung stehen.
Aggressivität
Das BSI definiert in [S.14][3] vier Stufen, die eine Aussage über die Aggressivität der Tests aussagen.
Bei einem passiven Test werden keinerlei Schwachstellen ausgenutzt. Somit besteht kein Risiko, dass Systeme ausfallen oder von ihrem normalen Betrieb abweichen.
In der Stufe vorsichtig werden Schwachstellen nur dann ausgenutzt, wenn davon ausgegangen werden kann, dass dies keine Auswirkungen auf die Funktionalität des Systems hat.
Abwägend werden Tests bezeichnet, bei denen das System unter Umständen beeinträchtigt werden kann. Allerdings wird das Risiko und die Erfolgswahrscheinlichkeit vorher abgeschätzt.
Bei einem aggressiven Test werden alle Schwachstellen ausgenutzt. Hierbei wird keine Rücksicht auf die Verfügbarkeit der Systeme genommen. Tests dieser Art können zu unvorhersagbarem Verhalten des Systems führen.
Umfang
Der Aspekt Umfang des Tests definiert welche Systeme und Komponenten getestet werden sollen und welche explizit aus dem Test ausgeschlossen werden.
Ein vollständiger Test beinhaltet alle Systeme. Ausgenommen hiervon sind Dienste externer Anbieter, da hierfür keine Berechtigungen vorliegen und entsprechende Tests außerhalb des rechtlichen Rahmens liegen.
Durch Ausschluss bestimmter Teilsysteme wird ein Test der Kategorie begrenzter Penetrationtest zugewiesen.
Als fokussiert werden Tests bezeichnet, die nur einen bestimmten Netzbereich, ein bestimmtes System oder bestimmte Funktionalitäten adressieren.
Vorgehensweise
In der Vorgehensweise wird zwischen verdeckten und offensichtlichen Tests unterschieden.
Anders als bei einem verdeckten Test wird werden bei einem offensichtlichen Test keine Maßnahmen zur Verschleierung der Angriffe unternommen.
Die Angriffe zu verschleiern hat den Vorteil, dass schützende Komponenten wie beispielsweise ein Intrusion Detection System (IDS)geprüft werden können.
Ein Network Intusion Detection System (NIDS) analysiert den Netzwerkverkehr innerhalb eines Netzes erkennt Angriffe anhand von auffälligen Netzwerkpaketen [S.172][1]. Entsprechend kann hier getestet werden, welche Art von Angriffen vom NIDS erkannt werden und welche nicht.
Des weiteren können einige Angriffe wie Denial of Service-Angriffe (DoS)nicht verdeckt durchgeführt werden.
Technik
Um Angriffstechniken zu differenzieren unterscheidet das BSI zwischen vier entsprechenden Vorgehensweisen.
Bei einem klassischen Netzwerkzugriff wird über das TCP/IP Protokoll zugegriffen.
Neben dem IP/TCP Protokoll können auch andere Kommunikationswege wie Bluetooth, ZigBee oder das Telefon als Angriffsvektor dienen. Diese werden unter dem Begriff sonstige Kommunikation zusammen gefasst.
Neben dem Zugriff über Computersysteme können auch Tests der physischen Sicherheit durchgeführt werden. Hierbei wird geprüft, ob es möglich ist unbemerkt an Systeme zu gelangen um von diesen aus den Angriff fortzuführen.
Eine weitere Angriffstechnik ist das Social Engineering. Hierbei wird der Mensch als Schwachstelle angesehen und über psychologische Tricks versucht an an vertrauliche Informationen zu gelangen [S.262][1]. Hierzu hatte bereits vor einiger Zeit einen Beitrag verfasst.
Ausgangspunkt
Das letzte Kriterium zur Klassifikation von Penetrationstests ist der Ausgangspunkt von dem ein Angriff aus geht.
Unterschieden wird zwischen einem Angriff von außen, bei dem Schwachstellen in öffentlich zugänglichen Diensten gesucht werden und internen Angriffen.
Bei einem internen Angriff startet dieser innerhalb des Netzwerks.
"Daher kann mit einem Test von innen bewertet werden, was z. B. bei einem
Fehler in der Firewall-Konfiguration oder bei einem erfolgreichen Angriff auf die
Firewall passieren könnte bzw. welche Zugriffsmöglichkeiten Personen mit Zugang
zum internen Netzwerk erlangen könnten "[S.17][3].
Quellen
Vielen Dank fürs Lesen. Fragen beantworte ich wie immer gerne in den Kommentaren :)
Auch wenn ich von Thema selbst nicht weiß Gott was verstehe - der Aufbau und die Formatierung des Beitrages sind 1A, Hut ab! ;)
Vielen lieben Dank :)
und ich versteh es sogar :D
Als Schüller hatte ich mit Wireshark und Co gespielt und kam darüber in diesen Bereich, bereue es mittlerweile nicht weiter gemacht zu haben. Aber es ist ja nie zu spät
Stabiler Post! Freu mich auf die nächsten Folgen
Tnx for ur upvote