Penetration Testing und Sicherheitsberatung

Schwachstellen beim Netzwerk-Zugriff aufdecken

Seite: 3/4

Firma zum Thema

Externer Test

Bei einem externen Test sind die Zielsysteme meistens aus dem DMZ-Bereich der Firma vorgegeben. Optional können die Zielsysteme durch Informationslecks identifiziert werden. Bei diesem optionalen Verfahren werden öffentlich zugängliche Quellen durchsucht. Dazu gehören: Suchmaschinen, Foren, soziale Netzwerke, News Groups, DNS Records, Domain- und IP-Register.

Stehen die Zielsysteme fest, kann der Test beginnen. Die Zielsysteme werden über verschiedene Wege via Internet nach Schwachstellen untersucht. Gelingt der Einbruch in das Firmennetzwerk, werden weitere Tools eingesetzt, um z.B. Passwörter zu entschlüsseln oder Fileshares auszulesen.

Der Einsatz der Tools zur internen Penetration des Netzes erfolgt ausschließlich mit dem Einverständnis des Auftraggebers. Wird in einer beliebigen Phase ein schwerwiegendes Sicherheitsproblem entdeckt, wird der Test sofort unterbrochen, der Kunde informiert und ggf. sofortige Maßnahmen getroffen.

Interner Test

Das Ziel des internen Tests ist die Untersuchung der Angriffsfestigkeit aller Geräte die sich im Firmennetz befinden. Der Report aus dem internen Test beantwortet die Frage, was passieren kann wenn ein Einbruch in die Firewall gelingt.

Im Vergleich zu dem externen wird in einem internen Test ein deutlich größerer Adressbereich untersucht. Es kann sich um tausende IP-Adressen handeln, die geprüft werden. Die Adressen werden in Gruppen eingeteilt und jede Gruppe wird zu einem genau definierten und mit dem Kunden abgestimmten Termin getestet.

Neben den erwähnten Tests sind zusätzlich spezialisierte Verfahren sinnvoll:

  • Web Application Testing: Hier werden 19 verschiedene Eigenschaften untersucht, angefangen bei der Autorisierung über „Buffer-overflow-checks“ bis hin zu „back-door“ und „dubugging options“
  • Citrix Environment Security Assessment
  • Monatlicher Scan nach Payment Cards Industrie (PCI) Standards. Ziel: Erfüllung der PCI-DSS ASV Anforderung
  • Network Device Testing. Ein spezieller Test, der sehr ausführlich die Netzwerkkomponenten wie Router, Firewalls, Switche, etc. untersucht
  • Wireless Scanning. Test der WLAN-Sicherheit
  • Mobile Handset/Smartphone Testing
  • Database Testing
  • Social Networking Attacks

(ID:33395940)