Ziel des Penetration Tests ist es, Systeme auf mögliche Schwachstellen und Sicherheitslücken zu überprüfen, die über IP-Netzwerke auszunutzen sind. Die Prüfung beinhaltet nicht nur Schwachstellen des IP-Protokolls selbst, sondern umfasst insbesondere auch die über IP auf höherer Ebene transportierten Protokolle und Applikationen.

Unterhalb des IP-Protokolls befindliche Ebenen (Network Layer), wie Schwachstellen in der Physik (Gebäudeschutz, elektromagnetische Emissionen, Verkabelung, etc.) oder Angriffsmöglichkeiten auf niedere Transport-Protokolle (WLAN, Ethernet, etc.), werden von dem Penetration Test nicht erfasst.

Schwachstellen in IP-Netzen zeichnen sich vor allem dadurch aus, dass der Angreifer keinen physischen Zugriff auf das Zielobjekt benötigt, sondern aus der Entfernung über das Internet handeln kann. Die Entfernung zwischen Angreifer und Opfer und die relative Unsichtbarkeit der Netzwerkkommunikation führen im Allgemeinen dazu, dass der Angriff im Verborgenen geschieht, spät oder gar nicht entdeckt wird und spätere Rückschlüsse auf den Angreifer nur schwer zu ziehen sind.

Prävention ist deshalb eine der wichtigsten Strategien zur Abwehr von Angriffen über IP-Netze.

Zu einer wirksamen Prävention gehört, sowohl die regelmäßige Überprüfung der vorhandenen Sicherheitsmaßnahmen auf ihre Wirksamkeit, als auch die Aufdeckung neuer oder unbekannter Schwachstellen und Hinweise auf deren Beseitigung. Diese Funktion erfüllt der Penetration Test.

Methodik

Der Kunde benennt gezielt die öffentlichen IP-Adressen der Systeme und Applikationen, die auf Schwachstellen zu überprüfen sind.

Die Zielsysteme werden dann mit einer Scan-Applikation, die über eine umfassende und tagesaktuelle Datenbank mit von Herstellern oder von dritter Seite veröffentlichten Schwachstellen verfügt, auf Schwachstellen hin überprüft. Der Test wird „Non-Disruptive“ ausgeführt. Im Anschluss an die Untersuchung wird dem Kunden ein Bericht über die gefundenen Schwachstellen mit Hinweisen zu deren Beseitigung übergeben.

Typische Einsatzszenarien von Penetration Tests

Einmalige Prüfung

Bei einem einmaligen Einsatz des Penetration Tests steht im Allgemeinen die Prüfung des Sicherheitsdesigns im Vordergrund.

Werden bei einer einmaligen Prüfung Schwachstellen aufgedeckt, so ist das simple Einspielen eines Sicherheits-Patches nicht ausreichend, da bei den meisten Produkten im Laufe der Zeit neue Fehler zu erwarten sind. Die Schutzwirkung der einmaligen Untersuchung würde also nach gewisser Zeit schnell wieder verblassen und somit den langfristigen Nutzen in Frage stellen. Um eine dauerhafte Verbesserung der Sicherheit zu erzielen sollte deshalb bei aufgedeckten Schwachstellen entweder eine Design-Änderung oder eine Änderung der Betriebs-Prozesse erfolgen, die auch die Möglichkeit neu auftretender Fehler berücksichtigt und deren Ausnutzung prophylaktisch verhindert.

Beispiel: die einmalige Untersuchung der über das Internet erreichbaren Webserver einer Firma deckt eine Schwachstelle in der eingesetzten Web Server Software auf. Ein Patch zum Schließen der Lücke ist bereits vom Hersteller erhältlich. Da aber davon auszugehen ist, dass auch in Zukunft neue Sicherheitslücken auftreten werden, würde das einmalige Einspielen eines Patches die Probleme nur für eine begrenzte Zeit beseitigen.

Besser ist es, eine Design-Änderung vorzunehmen und z.B. vor die Webserver Geräte zu installieren, die eine entsprechend tiefgehende Inspektion des Web-Traffics vornehmen, so dass auch zukünftig neu auftretende Lücken bereits vor den Webservern abgefangen werden. Dies könnten z.B. Intrusion Protection Syteme oder besser noch spezialisierte Web Application Firewalls sein, die jeden übermittelten Parameter auf Einhaltung der Spezifikationen hin überprüfen.

Regelmäßige Prüfung

Ist das eingesetzte Sicherheitsdesign bereits weitgehend optimal, so kann eine regelmäßige Prüfung auf zwischenzeitlich neu aufgedeckte Schwachstellen die Sicherheit effektiv erhöhen, da man potentiellen Angreifern durch ein zeitnahes Schließen der Lücken (z.B. durch Aufspielen von Patches oder Änderung des Regelwerkes) zuvorkommen kann.

Die regelmäßige Prüfung schützt auch vor Bedienfehlern durch das Betriebspersonal, da auch hierdurch verursachte Lücken aufgezeigt und somit wieder korrigiert werden können. Statistiken über die momentan offenen und die bereits geschlossenen Sicherheitslücken ermöglichen es der IT Leitung und der Revision zudem eine Übersicht über die Tätigkeit des Sicherheitspersonals und den allgemeinen Sicherheitsstatus des Netzes zu erlangen.

Beispiel: der Webauftritt einer Firma im Internet soll vor angriffen geschützt werden. Die eingesetzten Produkte und das Sicherheitsdesign sind im wesentlichen vorgegeben. Durch regelmäßige Penetration Tests der Webserver aus dem Internet heraus wird sichergestellt, dass eventuelle Fehlkonfigurationen der Firewalls oder Webserver systematisch erkannt werden. Ebenso werden die Administratoren der Server zeitnah darüber benachrichtigt, wann das Einspielen eines von den Softwareherstellern neu veröffentlichten Sicherheitspatches notwendig ist.

Produktvarianten

Basic

Die Produktvariante Basic beinhaltet die einmalige oder regelmäßigen Untersuchung der von dem Kunden vorgegeben Systeme auf Schwachstellen.

Ein automatisch generierter Bericht mit einer Auflistung der Schwachstellen und den empfohlenen Gegenmaßnahmen (Änderung bestimmter Einstellungen, Einspielen von Sicherheits-Patches) wird von Pan Dacom an den Kunden weitergeleitet.

Advanced (optional)

Die Produktvariante Advanced beinhaltet die einmalige oder regelmäßigen Untersuchung der von dem Kunden vorgegeben Systeme auf Schwachstellen.

Pan Dacom bereitet die automatisch generierten Berichte auf. Dies beinhaltet eine Identifikation von False-Positives, die unabhängige Einschätzung der Relevanz gefundener Schwachstellen und die allgemeine Unterstützung des Kunden bei der Interpretation des Berichtes und den empfohlenen Gegenmaßnahmen. Das können Empfehlungen zur Änderung bestimmter Parameter, Einspielen bestimmter Sicherheitspatches oder falls notwendig auch Änderungen des Netzdesigns sein.

Die einmalige Prüfung (Produktvariante Basic) bieten wir zum Preis von 299,- Euro (zzgl. ges. MwSt., Produktvariante Basic) an. Sie ist kostenlos, sofern wir keine Schwachstellen finden. Sollten wir beim Penetration Test Fehler finden, so wird Ihnen der Betrag im Auftragsfall gutgeschrieben.