Schwachstellen und Gefahren im Netzwerk aufdecken
Penetration Testing mit dem Metasploit Framework
| Redakteur: Stephan Augsten
Penetrationstests gehören zu jedem umfassenden und ernstzunehmenden Sicherheitskonzept, da sie reale Angriffe auf die eigene IT-Infrastruktur simulieren. In diesem Beitrag erfahren angehende Penetration Tester und Ethical Hacker, welche Angriffsvektoren man dabei beachten sollte.
Penetrationstests erlauben es, aktuelle Schwachstellen und darauf basierende Bedrohungsszenarien für das Unternehmen zu ermitteln und geeignete Gegenmaßnahmen einzuleiten. Auf Basis der ermittelten Informationen ist ein Unternehmen dazu imstande, frühzeitig Schwächen in der bestehenden Verteidigungskette zu erkennen, zu priorisieren und entsprechend zu beseitigen.
Solche Penetrationstests sollten in regelmäßigen Abständen und mit unterschiedlichen Angriffsvektoren durchgeführt werden. Dabei lässt sich beispielsweise der typische externe Angriff über das Internet durchspielen. Es ist zudem möglich, Webapplikationen wie auch native Applikationen im Detail auf Schwachstellen und mögliches Optimierungspotential zu analysieren.
Weitere beliebte Angriffsvektoren wie kabellose Netzwerk-Zugänge und interne Client-Systeme sollten im Rahmen umfangreicher Penetrationstests ebenfalls zwingend berücksichtigt werden. Für solche Tests lassen sich unterschiedliche Angriffsszenarien kreieren und betrachten. Beispielsweise lässt sich bei einer Analyse der vorhandenen Client-Infrastruktur ein so genannter „Drive by Download“-Angriff simulieren.
Ein weiteres Szenario könnte ein Angreifer sein, der sich bereits in der DMZ-Umgebung befindet. Dort findet er die Systeme ohne Schutz der Firewall vor und kann seinen Angriff unter Umständen weiter eskalieren. Innerhalb des Client-Netzwerks lässt sich ein verstimmter eigener Mitarbeiter ebenso simulieren wie ein externer Berater, der böse Absichten verfolgt.
Ein Selbsttest schadet nicht
Unterschiedlichste weitere Angriffsszenarien sind bei solchen Penetrationstests denkbar und sollten vorab besprochen und betrachtet werden. Eine Vielzahl grundlegender Analysen und Sicherheitsmaßnahmen lassen sich bereits intern durchführen, bevor man ein externes Unternehmen mit einem umfangreicheren Penetrationstest beauftragt.
Bei diesen internen Tests kommen typischerweise unterschiedliche Port- und Schwachstellen-Scanner bzw. Vulnerability-Management-Systeme zum Einsatz. Neben diesen Tools zur Bestimmung vorhandener Schwachstellen werden immer häufiger auch komplexe Penetration-Testing- bzw. Exploit-Frameworks genutzt.
Solche Frameworks bieten Funktionen zur Erkennung von Schwachstellen sowie eine Vielzahl unterschiedlicher Module, um vorhandene Sicherheitslücken per Exploit auszunutzen. Dadurch ist es möglich, eine wesentlich genauere Priorisierung der Schwachstellen durchzuführen. Das Unternehmen ist dadurch imstande – speziell bei einer sehr großen Systemumgebung – Schwachstellen höher zu priorisieren, für die bekannter Exploit-Code verfügbar ist.
Im Rahmen der Analyse lässt sich darüber hinaus eine potenzielle Eskalationskette bilden. Dabei kombiniert man unterschiedliche Schwachstellen so, dass erfolgreiche Angriffe auch über Lücken erfolgen können, die von automatisierten Scannern auf den ersten Blick als nicht kritisch eingestuft werden.
Metasploit – das Maß der Dinge
Das Metasploit Framework entwickelt sich für solche Tests immer mehr zum Standard-Tool. Gerade durch die freie Verfügbarkeit des Frameworks und des Quellcodes umfasst nahezu jede Toolbox eines Penetrationstesters und technischen Security Consultants dieses Tool.
Mittlerweile kommt Metasploit nicht mehr ausschließlich für die Anwendung von Exploits zum Einsatz. Es lässt sich auch für Discovery Vorgänge, Analysen von Webservern, Datenbanken, Windows- und Linux-Systemen und zur Darstellung von Client-Side-Angriffen einsetzen. War es möglich, sich Zugang zu einem System zu verschaffen, bietet Metasploit weitere Möglichkeiten zur Optimierung der so genannte Post Exploitation Phase.
