Gajus - Fotolia

Strategien und Verfahren für Penetrationstests

Für Penetrationstests (Pentests) gibt es verschiedene Strategien. Wir machen Sie mit den zugehörigen Methoden von Blindtests bis zu Spoofing vertraut.

Im ersten Artikel dieser Serie haben wir uns zunächst um die Grundlagen und eine Einführung in Netzwerk-Penetrationstests gekümmert. Im zweiten Teil der Serie ging es um die richtige Planung von Pentests. In diesem Artikel beschäftigen wir uns nun mit geeigneten Strategien, Methoden und Verfahren.

Abhängig von den anvisierten Zielen lassen sich folgende Strategien für Penetrationstests unterscheiden:

  • Strategie für externe Pentests
    Externe Tests befassen sich mit Angriffen auf den Netzwerkperimeter der Organisation. Die verwendeten Methoden werden von außerhalb der anzugreifenden Systeme durchgeführt, das heißt über das Internet oder Extranet. Dieser Test kann mit keinem oder vollständigem Wissen über die fragliche Umgebung durchgeführt werden. In der Regel beginnt dieser Penetrationstest mit öffentlich verfügbaren Informationen über den Kunden, anschließender Netzwerkenumeration, Sondierung der extern sichtbaren Server oder Geräte des Unternehmens, etwa des DNS-Servers (Domain Name System), E-Mail-Servers, Webservers oder der Firewall.
  • Strategie für interne Pentests
    Interne Tests werden von innerhalb der technischen Umgebung der Organisation durchgeführt. Dieser Pentest simuliert eine Attacke auf das interne Netzwerk durch einen verärgerten Mitarbeiter oder einen autorisierten Besucher, der Standardzugriffsrechte besitzt. Der Fokus liegt hierbei darauf, zu verstehen, was passieren könnte, wenn der Netzwerkperimeter erfolgreich penetriert wurde, oder was ein autorisierter Benutzer machen könnte, um spezifische Informationsressourcen innerhalb des Unternehmensnetzwerks zu kapern. Die eingesetzten Verfahren sind bei beiden Testtypen ähnlich, obwohl die Ergebnisse stark variieren können.
  • Strategie für Blindtests
    Bei einer Strategie für Blindtests versucht man, die Aktionen und Vorgehensweisen eines echten Hackers zu simulieren. Wie bei einem realen Hackerangriff verfügt das Testteam vor Durchführung des Penetrationstests nur über eingeschränkte oder gar keine Informationen hinsichtlich der Organisation. Das für den Penetrationstest verantwortliche Team nutzt öffentlich verfügbare Daten (zum Beispiel die Website des Unternehmens, Domain Name Registry, Internetforen, soziale Medien/Netzwerke, das Usenet und andere Stellen), um Informationen über das Ziel zu sammeln und die Penetrationstests durchzuführen. Diese Blindtests können eine Menge Informationen über die Organisation liefern (sogenannte Insiderinformationen), die ansonsten unbekannt bleiben würden – zum Beispiel kann diese Art von Pentests problematische Dinge wie zusätzliche Internetzugriffspunkte, direkt verbundene Netzwerke, öffentlich verfügbare vertrauliche/geschützte Informationen etc. zutage fördern. Allerdings sind Blindtests zeitintensiver und teurer, weil der notwendige Aufwand des Testteams für die Zielrecherche höher ausfällt.
  • Strategie für Doppelblindtests
    Ein Doppelblindtest stellt eine erweiterte Form von Blindtests dar. Bei dieser Methode sind die IT- und die Sicherheitsmitarbeiter der Organisation vorab nicht eingeweiht und demzufolge „blind“ gegenüber den geplanten Testaktivitäten. Doppelblindtests stellen eine wichtige Testkomponente dar, da sich hiermit die Sicherheitsüberwachung und Identifizierung von Sicherheitsvorfällen sowie die Eskalations- und Reaktionsverfahren der Organisation prüfen lassen. Wie aufgrund des Testziels auf der Hand liegt, wissen nur wenige Personen innerhalb der Organisation über den Test Bescheid. Normalerweise ist das nur der Projekt-Manager, der das gesamte Verfahren sorgfältig beobachtet, um sicherzustellen, dass die Testmethoden und die Incident-Response-Verfahren der Organisation beendet werden können, wenn die Zielsetzungen des Tests erreicht wurden.
  • Strategie für zielgerichtete Tests
    Bei zielgerichteten oder systematischen Tests, gelegentlich auch als Lights-turned-on-Ansatz bezeichnet, sind sowohl das IT-Team der Organisation als auch das für den Penetrationstest verantwortliche Team involviert, die gemeinsam den Test durchführen. Die Testaktivitäten und die Informationen bezüglich Ziel und Netzwerkdesign sind allgemein bekannt. Zielgerichtete Penetrationstests können effizienter und kostengünster sein, wenn das Ziel des Tests sich eher auf die technische Seite oder das Design des Netzwerks konzentriert, anstatt auf Incident-Response-Maßnahmen und sonstige Arbeitsabläufe der Organisation. Im Gegensatz zu Blindtests lässt sich ein systematischer Test in weniger Zeit und mit geringerem Aufwand durchführen. Der einzige Unterschied besteht darin, dass dadurch möglicherweise kein vollständiges Bild über die Sicherheitsschwachstellen und Reaktionsfähigkeit der Organisation entsteht.

Nachdem wir die verschiedenen Strategien bei Penetrationstests vorgestellt haben, werfen wir nun einen Blick auf einige der Verfahren und Methoden, die bei einem Pentest zum Einsatz kommen, und wie sich dadurch ein erfolgreicher Penetrationstest durchführen lässt:

  • Passive Recherche
    Wie der Name bereits nahelegt, versteht man unter passiver Recherche eine Methode, um so viele Informationen wie möglich über die Systemstruktur und -umgebung einer Organisation anhand von öffentlich zugänglichen Quellen zu sammeln. Dazu zählen
    • DNS (Domain Name System)
    • RIPE (Réseaux IP Européens)
    • Usenet (Newsgroups)
    • ARIN (American Registry for Internet Numbers)
      *Eine passive Recherche wird generell zu Beginn eines externen Penetrationstests vorgenommen.
  • Open-Source-Monitoring
    Unter diese verwandte Methode fallen Internet-Metasuchen (mehrere Suchen über Websites, Nachrichtenagenturen/Nachrichtenseiten, Newsgroups und andere Quellen) anhand von Keywords, die für die Organisation wichtig sind. Die Daten werden gesammelt und relevante Treffer an die Organisation gemeldet. Dadurch lässt sich ermitteln, ob vertrauliche Informationen aus dem Unternehmen durchgesickert sind oder ob sie während einer elektronischen Konversation gefallen sind. Eine Organisation kann auf diese Weise notwendige Maßnahmen ergreifen, um die Vertraulichkeit und Integrität sicherzustellen.
  • Netzwerk-Mapping und OS-Fingerprinting
    Die Visualisierung einer Netzwerkkonfiguration ist ein wichtiger Bestandteil von Penetrationstests. Das Netzwerk-Mapping wird genutzt, um sich ein Bild über die Konfiguration des zu testenden Netzwerks zu machen. Daraus kann man ein Netzwerkdiagramm erstellen, von dem sich die logischen Standorte und IP-Adressen von Routern, Firewalls, Webservern und anderen Border Devices ableiten lassen.

    Darüber hinaus kann diese Untersuchung beim OS-Fingerprinting helfen, mit dem Betriebssysteme identifiziert werden können. Eine Kombination der Ergebnisse aus passiver Recherche und Tools wie Ping, Traceroute und Nmap kann zu einer recht guten Übersichtskarte des Netzwerks führen.

    Eine Erweiterung des Netzwerk-Mappings ist das Port-Scanning. Dieses Verfahren dient zur Identifizierung der einzelnen Dienste, die auf der Zielmaschine verfügbar sind. Das Scan-Ergebnis verrät wichtige Informationen etwa über die Funktion eines Computers (ob es sich um einen Webserver, Mail-Server oder andere Geräte handelt) oder über Ports, die ein ernsthaftes Sicherheitsrisiko darstellen, zum Beispiel Telnet. Port-Scans sollten eine Reihe von einzelnen Tests umfassen, unter anderem:
    • TCP-Scan (Transmission Control Protocol)
    • Connect-Scan
    • SYN-Scan (oder Half-Open-Scan)
    • RST-Scan (oder Xmas-Tree-Scan)
    • UDP-Scan (User Datagram Protocol) und ICMP-Scan (Internet Control Message Protocol). Tools wie Nmap eignen sich für diese Art von Scans.
    • Dynamische Ports, die von RPC (Remote Procedure Call) genutzt werden, sollten mit Tools wie RPCinfo gescannt werden.
  • Spoofing
    Beim Spoofing geht es im Wesentlichen darum, TCP/IP-Pakete mit der Internetadresse eines anderen Users zu erstellen und sie dann an den Zielrechner zu senden, der fälschlicherweise davon ausgeht, dass die Pakete von einer vertrauenswürdigen Quelle stammen. Mit dieser Methode wird die eigene Identität verschleiert, indem man eine andere annimmt. Router verwenden die Ziel-IP-Adresse, um Pakete durch das Internet weiterzuleiten, ignorieren aber die Quell-IP-Adresse. Der Zielrechner nutzt nur diese Quell-IP-Adresse, wenn er der Quelle antwortet. Diese Technik wird bei internen und externen Penetrationstests verwendet, um auf Computer zuzugreifen, die so konfiguriert sind, dass sie nur bestimmten Rechnern antworten sollen. Das kann dazu führen, dass sensible Informationen auf nicht autorisierten Systemen landen. IP-Spoofing ist ebenfalls ein integraler Bestandteil von vielen Netzwerkangriffen, die nicht auf Antworten angewiesen sind (Blind Spoofing).
  • Netzwerk-Sniffing
    Sniffing ist ein Verfahren, um Daten auf ihrem Weg durch ein Netzwerk zu erfassen. Es handelt sich um eine wichtige Technik, um Informationen zu gewinnen. Mit ihr lassen sich spezielle Informationen sammeln, zum Beispiel Passwörter, bei Bedarf aber genauso gut der gesamte Datenaustausch zwischen bestimmten Computern. Damit Sniffing funktioniert, muss die Netzwerkkarte des Computers in den Promiscuous Mode umgeschaltet werden, so dass sie alle Daten, die durchs Netzwerk geschickt werden, erfasst.

    Sniffing wird in erheblichem Maße bei internen Pentests verwendet. Dabei ist der Sniffer oder der Computer im Promiscuous Mode direkt mit dem Netzwerk verbunden, wodurch sich eine erhebliche Menge an Informationen sammeln lassen. Für Sniffing stehen eine Reihe von freien und kommerziellen Tools zur Verfügung, beispielsweise Wireshark (das frühere Ethereal), Microsoft Message Analyzer (der Nachfolger von Netmon) oder der Observer Analyzer von Viavi.
  • Trojaner-Angriff
    Ein Trojaner ist eine Schadsoftware, die in der Regel per E-Mail-Attachments oder über IM-Chats verbreitet wird. Diese Malware läuft im Stealth-Modus und installiert sich ohne Wissen des Users auf dem Client-Rechner. Einmal installiert, sind Trojaner in der Lage, Remote-Control-Kanäle für Angreifer zu öffnen oder Informationen abzugreifen. Bei einem Penetrationstest wird versucht, speziell präparierte Trojaner in ein Netzwerk einzuschleusen.
  • Brute-Force-Angriffe
    Bei der Brute-Force-Methode probieren die Angreifer eine sehr große Anzahl von alphanumerischen Kombinationen nach der Trial-and-Error-Methode aus, um gültige Anmeldeinformationen zu finden. Das Ziel hinter dieser zeitaufwendigen Methode besteht darin, Zugriff auf das Zielsystem zu erhalten. Brute-Force-Angriffe können ein System überlasten und es womöglich so in die Knie zwingen, dass es auf legitime Anfragen nicht mehr antwortet. Wenn Accounts nach einer gewissen Anzahl von fehlgeschlagenen Anmeldeversuchen gesperrt werden, können Brute-Force-Attacken zudem berechtigte Nutzer aus dem System aussperren.
  • Schwachstellen-Scanning/Schwachstellenanalyse
    Mit dem Schwachstellen-Scanning beziehungsweise der Schwachstellenanalyse werden bestimme Bereiche der Infrastruktur von Unternehmensnetzwerken eingehend untersucht. Dieses Verfahren soll den aktuellen Status des Netzwerks und darin befindlicher Geräte feststellen. Die Ziele reichen von einem einzelnen System oder nur kritischen Systemen bis zum Scannen des gesamten Netzwerks. Für diese Methoden kommen im Allgemeinen automatisierte Tools infrage, die ein System anhand einer Datenbank mit bekannten Lücken auf eine Vielzahl von potenziellen Schwachstellen abklopfen und potenzielle Sicherheitslöcher melden. Und obwohl sie aktiv keine Angriffe verhindern, bieten viele Scanner zusätzliche Tools, um gefundene Lücken zu stopfen. Zu den populären Schwachstellen-Scannern gehören unter anderem: das einstige Open-Source-Projekt Nessus (ab Version 3 kommerziell), das auf der letzten freien Nessus-Version aufsetzende OpenVAS, Nipper von Titania, GFI LANguard von GFI Software, Retina Network Security Scanner von BeyondTrust, Microsoft Baseline Security Analyzer und Nexpose von Rapid7.
  • Szenarioanalyse
    Nachdem der Schwachstellen-Scan beendet und Sicherheitslücken identifiziert wurden, besteht der nächste Schritt darin, ein Testszenario durchzuführen. Diese Tests zielen darauf ab, ermittelte Sicherheitsschwachstellen auszunutzen, um in das System einzudringen und dabei messbare Ergebnisse zu erzielen, zum Beispiel in Form von gestohlenen Informationen, Benutzernamen und Passwörtern oder eines manipulierten Systems. Dieses Testverfahren stellt sicher, dass es zu keinen False Positives kommt, und macht die Risikobewertung von Schwachstellen sehr viel genauer. Für das Testen von Exploits gibt es eine Reihe von Tools, obwohl der Vorgang häufig hochgradig manuell ist. Exploit-Tests sind vielfach die letzte Stufe bei Penetrationstests.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Pentester, kein normaler IT-Job

Kostenloses E-Handbook: Ratgeber Penetrationstests

Kostenloses E-Handbook: Security Scanner Nmap optimal einsetzen

Kostenloses E-Handbook: Besser arbeiten mit Wireshark

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Security-Monitoring

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close